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Mensaje del Rector 


La Universidad Autónoma de Nuevo León es una institución impulsora del progreso y bienestar de la socie- 
dad; su actividad esta sustentada en un Plan de Desarrollo Institucional; desarrolla la investigación, la inno- 
vación, y además fomenta el desarrollo social y cultural en procesos que contribuyen al logro de su Misión y 
la Visión UANL al 2030. 

A lo largo de 86 años, la UANL ha mantenido la unidad y continuidad a los principales planes y proyectos, al 
logro de la Misión educativa de la Institución y avanza con visión de futuro, para poder brindar conocimiento 
y servicios de excelente calidad, por lo que siempre se ha distinguido por la pertinencia de sus programas. 
Actualmente, mediante esfuerzos permanentes para formar a los ciudadanos que nuestro país merece y 
necesita, nos encontramos inmersos en un proceso de posicionamiento y replanteamiento sobre nuestras 
metas y objetivos que permitan asegurar que tanto estudiantes como profesores sean competitivos a nivel 
nacional e internacional; es decir, como una institución que educa para transformar y se transforma para 
trascender. 

Atendiendo a lo señalado en el Modelo Educativo por competencias referente a su enfoque constructivista 
y a la evolución de los estudiantes, se busca que por sí mismos obtengan aprendizajes y adquieran las habili- 
dades socio-formativas que permitan la interpretación, la argumentación y los planteamientos para la reso- 
lución de problemas del contexto externo; asimismo, para evidenciar la formación en idoneidad y compro- 
miso ético se contempla al estudiante como el principal protagonista del aprendizaje, un líder que adquiere 
y desarrolla capacidades que le permiten construir su propio conocimiento a través de los seis ejes rectores 
como son: la promoción de una educación centrada en el aprendizaje, la educación basada en competencias, 
la flexibilidad curricular y de los procesos educativos, la internacionalización, la innovación académica y la 
responsabilidad social. 

El proceso de enseñanza-aprendizaje se realiza a través de la planificación o planeación didactica, ya que 
en este nivel educativo ésta es la herramienta que permite organizar el pensamiento y la acción, ordenar 
la tarea, estimular el compartir, el confrontar, ayudar a establecer prioridades, a concientizarse acerca de la 
distribución del tiempo, pero sobre todo, a tener en cuenta que de las competencias derivan tres aspectos: 
conocimientos, habilidades y actitudes, mismos que tienen como resultado final un producto, un servicio o 
una decisión, permitiendo con ello la consolidación de la formación integral del estudiante y sus habilidades 
socioemocionales para su mejor desempeño. 

En su Visión 2030, la UANL aspira a ser reconocida como una institución socialmente responsable y de clase 
mundial, es por ello que a través de la Dirección del Sistema de Estudios del Nivel Medio Superior y de sus 
Cuerpos Académicos Disciplinares, se ha rediseñado el contenido curricular de los libros de texto correspon- 
dientes a cada una de las unidades de aprendizaje, así como las respectivas Guías de aprendizaje que confor- 
man los nuevos planes y programas de estudios de la oferta educativa del bachillerato, con lo que se refrenda 
el compromiso social de difundir y generar un conocimiento social, científico y humanista en beneficio de la 
sociedad. 

Deseo destacar que la excelencia de nuestros programas educativos en el Nivel Medio Superior es fortalecida 
por la formación y profesionalismo de los profesores universitarios, los indicadores lo avalan y ello nos posi- 
ciona como una Universidad que ha sido reconocida por obtener los más altos estándares de calidad de edu- 
cación media superior y superior en México, y que trasciende de ser una Universidad grande a ser una gran 
Universidad, para entregar a la sociedad ciudadanos globales, competitivos y generadores de conocimiento 
y bienestar para la humanidad. 


Mtro. Rogelio G. Garza Rivera 
Rector de la UANL 


Mensaje del Director 


La Escuela Industrial y Preparatoria Técnica “Pablo Livas” llega a su centenario en pleno cumplimiento de 
su primera razón de ser: “llenar una necesidad social”. En 1921 fue inaugurada como Escuela de Labores Fe- 
meniles “Pablo Livas”, con el firme propósito de formar jóvenes mujeres en labores no sólo del hogar, como 
dictaba la costumbre en aquel entonces, sino también en labores cotidianas que, dentro de los estándares 
sociales de la época, le permitirían aspirar a una vida independiente como costureras, cocineras, estilistas y 
artesanas. 


A cien años de distancia, aquella instrucción evolucionó a la técnica formal que conocemos hoy en nuestra 
oferta educativa, a la que orgullosamente anexamos el Bachillerato Técnico en Artes. Bajo la firme convic- 
ción de que la Cultura es formadora de carácter emocional y pensamiento crítico, tan necesitados en nuestra 
sociedad actual, la “Pablo Livas” celebra su aniversario como una preparatoria completa, formadora de jóve- 
nes en los campos del Diseño, Tecnología, Deporte, Gastronomía y Artes; esto, bajo el continuo compromiso 
de atender las necesidades sociales, tal y como lo hicieron las maestras fundadoras de nuestra preparatoria 
cien años atrás. 


Dr. Gerardo Gustavo Morales Garza 
Director 
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Introducción 


La seguridad en Informática es ejercida por auditores preparados, capacitados y consiste en coleccionar, 
concentrar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo em- 
presarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza 
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma 
sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué in- 
formación es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, 
costes, valor y barreras, que obstaculizan flujos de información eficientes. 


En el presente libro el enfoque principal consistirá en el estudio de la seguridad informática: 
. Analizar los principales tipos de vulnerabilidades de los sistemas informáticos y estudiar los distintos 
tipos de técnicas de análisis y evaluación de vulnerabilidades. 


. Estudiar los virus informáticos y otros códigos dañinos, que construyen una de las principales amena- 
zas para la seguridad de los sistemas informáticos. 


. Revisión de los principales aspectos relacionados con los delitos informáticos y aspectos relevantes 
relacionados con la normativa para garantizas la protección de los datos personales y la privacidad de los 
ciudadanos. 


. Estudio de los cortafuegos de red 





Etapa 1 Fundamentos de la seguridad 
en informática 





Historia de incidentes en las redes 


Primer bug o fallo informático: 

Se suele considerar que el primer bug o fallo informático tuvo lugar el 9 de septiembre de 1945 en el la- 
boratorio de cálculo Howard Alken de la Universidad de Harvad. Aunque a diario hablamos de bugs en el 
software, el origen de este concepto es precisamente por un fallo en el hardware. El 9 de Septiembre de 
1945, Grace Murray Hopper estaba trabajando en su computador Mark ll cuando este empezó a fallar. Tras 
revisarlo descubrieron que una polilla se había introducido en este. Grace dejó apuntado en su cuaderno que 
este era el primer caso en el que había sido un bicho (bug) encontrado. Por ello, en la actualidad se asemeja 
bug a error. 


Sin embargo, no es un caso aislado el hecho de la existencia de bugs 
en cualquier tipo de software o hardware. En 1968, en la primera 
conferencia organizada por la OTAN sobre desarrollo de software, se 
definió el concepto de Crisis de Software indicando que desarrollar 
software era una tarea compleja con probabilidad de aparición de 
errores. En la actualidad seguimos sufriendo este problema debido 
a que la complejidad en la informática, lejos de disminuirse, se incre- 
menta a medida que se descubren técnicas nuevas. 





Hoy en día, los que están en contacto constante con la informática dan por hecho que los ordenadores fallan. 
Sin embargo no siempre se deberían asimilar como tal. Hay entornos donde es muy importante que el sof- 
tware no falle. Para ello realizar las pruebas pertinentes y eliminar la complejidad es vital para que un sistema 
salga adelante. 


El gusano Morris 


El gusano Morris fue el primer ejemplar de malware autorreplicable que afectó a internet (entonces AR- 
PANET). El 2 de noviembre de 1988, aproximadamente 6000 de los 60 000 servidores conectados a la red 
fueron infectados por este gusano informático, lo que motivó que DARPA creara el Equipo de Respuesta ante 
Emergencias Informáticas (CERT, por sus siglas en inglés) en respuesta a las necesidades expuestas durante 
el incidente. 


Se estima que en ese momento el tamaño de Internet era de unas 60.000 computadoras, y el gusano afectó 
cerca de 6.000 sistemas de ordenadores en los Estados Unidos (incluyendo el centro de investigación de la 
NASA) y dejó casi inútiles algunos de ellos. 


El programa intentaba averiguar las contraseñas de otras computadoras usando una rutina de búsqueda que 
permutaba los nombres de usuarios conocidos, una lista de las contraseñas más comunes y también bús- 
queda al azar. Descubrieron que no todas las computadoras eran afectadas, sino que solo se propagó en las 
computadoras VAX de DEC (Digital Equipment Corp) y las fabricadas por Sun Microsystems, que empleaban 
Unix. 


El programa estaba aprovechando algunos defec- 

tos de la versión de la Universidad de Berkeley del “009 sto o Cot + ment 
sistema UNIX. Integrantes de dicha Universidad y +» o 

del MIT de Massachusetts y de Purdue intentaron .- =: .iemisio sisasióni es 

trabajar en forma coordinada para capturar una 

copia del programa y analizarlo. Se trataba de UN si tro esóeoénatis 2 
ejemplo de 99 líneas de código que, aprovechán- 1... AA 
dose de una debilidad de Sendmail, se replicaba 
de una máquina a otra. Se estableció que la in- 
fección no fue realizada por un virus, sino por un +: 
programa gusano, diseñado para reproducirse así; -: 
mismo indefinidamente y no para eliminar datos. 


No fue programado con intención de causar daño, pero a causa de un bug en su código, los efectos fueron 
catastróficos para la época. Produjo fallos en cientos de computadoras en universidades, corporaciones y 
laboratorios de gobierno en todo el mundo antes de que fuera rastreado y eliminado. Era el ataque del que 
fue llamado “Gusano de Internet”, y la prensa cubrió el tema con frases como “el mayor asalto jamás realiza- 
do contra los sistemas de la nación”. Erradicarlo costó casi un millón de dólares, sumado a las pérdidas por 
haberse detenido casi toda la red, siendo estimadas las pérdidas totales en 96 millones de dólares (una cifra 
significativa en aquel momento). 


Este primer ataque a la infraestructura computacional de Internet llevó a la creación del CERT (Computer 
Emergency Response Team), un equipo de respuesta a emergencias en computadoras. El autor fue Robert 
Tappan Morris, estudiante de 23 años, que declara haber cometido un error al propagar el gusano. Fue de- 
tenido cuando uno de sus amigos habló con el reportero del área de computación del New York Times para 
intentar convencerlo de que todo había sido un accidente, que el gusano no provocaba daños y que el autor 
estaba arrepentido. 


Creó un programa con gran capacidad de reproducirse, pero jamás pensó que se propagaría tan rápida y 
extensamente. Su idea no era hacer que las computadoras se ralentizaran, sino que el programa se copiara 
una vez en cada máquina y luego se escondiera en la red. La motivación de Morris se desconoce, aunque es 
posible que pretendiera una broma práctica de alta tecnología, aprovechando esos errores. 


Un estudio detallado del código del Gusano de Morris viene a demostrar la existencia de dos programadores. 
Todo parece indicar que Robert Morris utilizó parte de los programas creados por su padre en los años 60: 
El juego consistía en crear un programa que al reproducirse fuera ocupando toda la memoria, al tiempo que 
borraba de ella al programa del contrincante. Lo que hizo fue pedirle a su padre, un experto en seguridad de 
la National Security Agency encargada de romper los códigos, un ejemplar de un artículo clásico en el tema, 
que el propio padre de Morris y Ken Thompson habían escrito una década antes en Laboratorios Bell, donde 
su padre fue uno de los desarrolladores del UNIX. 


Cada contraseña rota permitía que el gusano penetrara en otras máquinas donde el poseedor de la contrase- 
ña tuviera cuentas. Cuando se percató de que su programa estaba propagandose por la red, pidió a un amigo 
que enviara un correo electrónico pidiendo disculpas y las instrucciones para acabar con el programa. Pero 
en el caos que se originó, su mail pasó desapercibido. 








A 
Ataques al hardware 


Hacen referencia a los posibles defectos de fábrica o a la mala configuración de los equipos de cómputo de la 
empresa que puedan permitir un ataque o alteración de éstos. Las vulnerabilidades de hardware representan 
la probabilidad de que las piezas físicas del sistema fallen (ya sea por mal uso, descuido, mal diseño etc.) 
dejando al sistema desprotegido o inoperable. 


También trata sobre las formas en que el hardware puede ser usado por personas para atacar la seguridad 
del sistema, por ejemplo el sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de 
hardware que no han sido diseñados correctamente para funcionar en el sistema. Por ejemplo; la falta de 
actualización de los equipos que se utilizan o la mala conservación de los equipos son factores de riesgo para 
las empresas. 


Las 5 vulnerabilidades más peligrosas en el amplio abanico del hardware informático son: 


Memoria RAM 


El afan por reducir y colocar más en menos espacio es responsable de esta 
amenaza de hardware que afecta a las memorias DDR RAM y que no es posi- 
ble de solucionar salvo cambiando el módulo de memoria afectado. 





Firmware del Disco Duro 


Se creía que era una leyenda urbana en el mundo informático hasta que salto a la plana informativa las acti: 
vidades de ciberespionaje del grupo Equation en cuyo arsenal de software malicioso encontraron un archivo 
de críptico nombre “nls_933w.dll” que les permitía reprogramar el firmware del disco duro de mas de una 
decena de marcas entre las que se incluían IBM, Maxtor, Toshiba y Seagate, Western Digital. 


Puerto USB 


mod El tiempo pasa y la vulnerabilidad de la interface USB se sigue aprovechando para 

infectar desde sistema de almacenamiento portatil hasta teléfonos móviles que se 

o, ptes, conectan aprovechando la toma de corriente de los puertos USB universales para 
a ÓN cargar los dispositivos inteligentes. De este modo es sencillo que un código mali- 
014 > cioso tome el control del teclado o de cualquier otro periférico ocasionando consi- 


derables daños. 


Miro A, Mur o 4 


Thunderbolt 


Que los productos Apple están libres de cualquier ataque informático es 
una falacia que se esta demostrando a medida que los productos Mac 
OS X han ido copando la atención de los cibercriminales que ven a los 
usuarios de Apple más atractivos por su alto poder adquisitivo. El puer- 
to estrella de Apple aprovecha la nueva tecnología de E/S Thunderbolt 
que permite conectar pantallas y periféricos 40 veces más rápido que con 
USB. Thunderstrike fue el primer bootkit que aprovecha los módulos au- 


Xiliares de inicio de los dispositivos conectados por Thunderbolt con lo Aa 


que se consigue tomar el control del ordenador infectado. 
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BIOS 


Ai E La antigua interfaz BIOS de los ordenadores personales ha sido 
> Bendará CIO Puntars requOnOy/wetago Canton desplazada por la Interfaz de Firmware Extensible Unificada o 
DES PESIRSICNTN UEFI, en sus siglas en inglés, que fue desarrollada por Intel per- 
mitiendo menús gráficos adicionales e incluso acceso remoto 
para solucionar problemas de mantenimiento. Sin embargo 
esas ventajas evolutivas también ha propiciado aprovechar fa- 
llos muy concretos en la UEFI BIOS que permite sobrescribir 
sobre la misma sin que se pueda hacer nada al respecto. Con el 
código malicioso ya implantado es sencillo tomar el control de 
la maquina con permisos de administrado. 





Ataques al software 


Una vulnerabilidad del software es un fallo de seguridad en una aplicación a través de la cual, un atacante 
puede llegar a comprometer la seguridad de todo el sistema sobre el que se ejecuta esa aplicación. 


Cada programa (ya sea de paquetería o de sistema operativo) puede ser usado como medio para atacar a 
un sistema mas grande, esto se da debido a errores de programación, o porque en el diseño no fueron con- 
siderados ciertos aspectos (por ejemplo controles de acceso, seguridad, implantación, etc.).Ambos factores 
hacen susceptible al sistema a las amenazas de software. 

Algunos ejemplos de ataques al software fueron los siguientes: 


Desbordamiento de búfer: es un error que se verifica mientras que el programa está en ejecución. Lo que 
pasa es que en un búfer de un tamaño fijo se escriben datos que tienen un tamaño mayor que el búfer. En 
esta situación se podría verificar un mal funcionamiento del sistema puesto que los nuevos datos podrían 
corromper los de otros búferes o procesos. 


IIS (Internet Information Server): Es una de las vulnerabilidades más explotadas de Windows. Un gran nú- 
mero de gusanos informáticos se han escrito en los últimos años para explotar esta vulnerabilidad, incluyen- 
do el CodeRed. Éste se detectó por primera vez el 17 de julio de 2001, y se cree que ha infectado a más de 
300, 000 usuarios. Interrumpió un gran número de empresas, y causó enormes pérdidas financieras en todo 
el mundo. Aunque Microsoft ofreció un parche para esta vulnerabilidad en el boletín de seguridad MSO1- 
033, algunas versiones del gusano informático CodeRed aún se siguen propagando a través de Internet. 


Spida: Detectado casi un año después de que el CodeRed apareciera, basado en una exposición en el paquete 
de software del servidor MS- SQL para propagarse. Algunas instalaciones predeterminadas del servidor MS 
“SQL no tenían una contraseña en la cuenta del sistema, “SA”. Esto permitió a cualquier persona con acce- 
so a la red, que pudiera hacer funcionar comandos aleatorios. Cuando se utiliza esta exposición, el gusano 
configura la cuenta del “invitado” para permitir el intercambio de archivos y las propias cargas al objetivo 
deseado. Luego utiliza el mismo acceso a la cuenta “SA” y la misma contraseña de MS-SQL para lanzar una 
copia remota de sí mismo, difundiendo así la infección. 


Slammer: Detectado a finales de enero de 2003, utiliza un método aún más directo para infectar los sistemas 
Windows que ejecutan el servidor MS -SQL: un exceso de carga de vulnerabilidad en una de las subrutinas 
del paquete UDP. Como era relativamente pequeño, 376 bytes, y utilizaba el UDP, un protocolo de comuni- 
cación diseñado para la transmisión rápida de datos, Slammer se propagó a una velocidad increíble. Algunos 
estiman que el tiempo necesario para que Slammer se extendiera por el mundo fueron menos de 15 minutos, 
infectando alrededor de 75, 000 servidores. 


Ataques a los datos 


Un ataque informático se puede describir como una actividad hostil contra un sistema, un instrumento, una 
aplicación o un elemento que tenga un componente informático. Es una actividad que aspira a conseguir un 
beneficio para el atacante a costa del atacado. Existen diferentes tipologías de ataque informático que de- 
penden de los objetivos que se quieren alcanzar, de los escenarios tecnológicos y de contexto. 


Existen ataques que impiden el funcionamiento de un sistema, ataques que apuntan a su compromisión, 
otros que aspiran a conquistar datos personales que estan en un sistema o pertenecen a una empresa y los 
de ciberactivismo que sostienen causas o campañas de información y comunicación. Entre los ataques más 
difundidos, en los últimos tiempos, estan los ataques con finalidad económica y los flujos de datos, llamados 
“Man-In-The-Middle” (“ataque de intermediario”): la finalidad de estos ataques es un sitio web popular o una 
base de datos para robar datos de tipo financiero. 


Los ataques a datos más utilizados son los siguientes: 


Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una distorsión 
del funcionamiento normal del programa, que normalmente, deriva en daños al ordenador que lo ejecuta. 
Esta técnica es usada por algunos programadores. Introducen en la aplicación un código que se activa en una 
fecha determinada para que, si no ha cobrado por su trabajo ese día, destruya E HISr ación za erp 
en el que ha sido instalado. | 


Virus: Todos sabemos lo que son, cómo se comportan e incluso habremos 
sufrido sus consecuencias. Hoy en día, la conectividad entre ordenadores 
hace que existan muchísimos más de los 30 o 40 mil conocidos a finales de 
los 80, y que su impacto, cuando logran trascender, sea mucho mayor. 





Gusanos: Son programas que se replican, la línea que los separa de los virus es muy delgada. 


Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de manera que el usuario 
habitual del mismo no tenga conocimiento de este ataque. 


Troyanos: Los troyanos muestran la apariencia de un programa fiable, pero esconden otro tipo de malware 
que es instalado automáticamente con el objetivo de tomar el control del equipo. 


Keyloggers: Son capaces de registrar todas las pulsaciones del teclado. Esta información es utilizada para 
conseguir contraseñas y datos de la víctima. 


Spyware: El objetivo principal de este malware es el robo de información. 


Adware: El adware se encarga de mostrar publicidad al usuario a través de banners, pop-ups, nuevas ven- 
tanas en el explorador... En muchos casos, el objetivo secundario también es obtener información sobre la 
actividad del usuario en la red. 


Ransomware: Es el tipo de ataque más común en la actualidad. Se basa en el cifrado de los datos, restringien- 
do el acceso a los archivos del equipo para pedir un pago por el rescate de los mismos. En la mayoría de los 
casos en bitcoins. 





Ataques al personal: Aunque lo parezca, no consiste en perseguir con un cuchillo a los administradores. Se 
suele conocer más como ingeniería social. Consiste realmente en mantener un trato social con las personas 
que custodian datos. Indagar en sus costumbres o conocerlas mas profundamente para perpetrar posterior- 
mente un ataque más elaborado. La ingeniería social incluye desde suplantación de identidades confiables 
hasta la búsqueda en papeleras y basuras de información relevante. 


Vulnerabilidad 


Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema de información que 
pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la 
integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas 
lo antes posible. Estos agujeros pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de 
configuración o carencias de procedimientos. 


Errores de Diseño, Implementación y Operación 


Muchos sistemas estan expuestos a “agujeros” de seguridad que son explotados para acceder a archivos, ob- 
tener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de “puertas 
invisibles” son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, 
browsers de Internet, correo electrónico y todas clase de servicios informático disponible. 


Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros más conocidos y controlados que 
aquellos que existen en sistemas operativos cerrados (como WindowsO). La importancia (y ventaja) del có- 
digo abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener 
soluciones en forma inmediata. Constantemente encontramos en Internet avisos de nuevos descubrimien- 
tos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se 
hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar 
el programa afectado con el parche adecuado. 


Causas de las vulnerabilidades de los sistemas informáticos 


Debilidad en el diseño de los protocolos utilizados en las redes Ej. Telnet, FTP, SNMP (simple network mana- 
gement protocol) pero también conocido como “security not my problema”). 


Un error de software, comúnmente conocido como bug («bicho»), es un 


Erro bergpo de e ión, ¿ 

Xx) pica oca error o fallo en un programa de computador o sistema de software que des- 
Mii encadena un resultado indeseado. Los programas que ayudan a la detección 
Error: Perrriso denegado y eliminación de errores de programación de software son denominados de- 


puradores (debuggers). 











Configuración inadecuada de sistemas informáticos 


La configuración inadecuada de los sistemas informáticos permite explorar determinadas vulnerabilidades, 
ya que las opciones que traen por defecto “de fábrica” (es decir, la configuración inicial tras su instalación y 
puesta en marcha) muchos dispositivos y programas suelen ser poco seguras. Esta situación puede ser mo- 
tivada, en parte, por una deficiente documentación sobre la configuración del sistema o dispositivo. 


Conviene destacar ademas la importancia de modificar las contraseñas predeterminadas por el fabricante, 
ya que estas se suelen mantener en un porcentaje muy alto de dispositivos conectados a las redes (por ejem- 
plo, en los puntos de acceso a redes inalámbricas o en los routers), seguramente por desinterés o por falta 
de una adecuada formación de los administradores y técnicos que los instalan. 


Asimismo, podemos citar otras causas frecuentes de vulnerabilidades que se encuentran directamente rela- 
cionadas con una inadecuada configuración de los sistemas informáticos: 


. Ejecución de más servicios de los necesarios en los equipos, con cuentas de usuario que tienen privi- 
legios excesivos para su función. 


. Mantenimiento inadecuado de los sistemas: no se instalan y revisan los parches suministrados por el 
fabricante. En la actualidad podemos considerar que existe una autentica competición entre los atacantes y 
usuarios maliciosos, por otra parte, que descubren y tratan de explotar nuevos agujeros de seguridad, y los 
fabricantes de hardware y de software, por otra que deben desarrollar e instalar los parches adecuados en 
los sistemas. 


. Algunas aplicaciones informáticas presentan problemas de usabilidad de cara al usuario poco experi- 
mentado, que no es consciente de las opciones relacionadas con la seguridad. Así, se han constatado que en 
muchos casos el usuario final desconoce cuáles son los cambios que pueden provocar la activación o desac- 
tivación de una determinada opción de seguridad en el programa que esta utilizando. 


. Módems con una configuración insegura que facilitan el acceso no autorizado de usuarios externos, 
mediante técnicas conocida como “Wardialing”. 


. Routers que utilizan protocolos de enrutamiento poco seguros (como el protocolo RIP), que no 
garantizan la integridad y autenticidad de los mensajes de control mediante los que se intercambian infor- 
mación sobre las rutas. Por este motivo, se recomienda utilizar protocolos de enrutamiento más avanzados, 
como OSPF o BGP, que incorporan funciones de autenticación y control de la integridad de los mensajes. 


. Contar con excesivas relaciones de confianza entre redes y servidores, que facilitan el acceso a servi- 
dores sin requerir de autenticación, entre las que podríamos citar las siguientes: 


. Dominios de confianza en sistemas Windows 


. Archivos “.rhosts” y “host.equiv” de UNIX /LINUX y los famosos comandos “r” que facilitan la confian- 
za transitiva entre varios servidores, de modo que un usuario o equipo se puede conectar a otros equipos sin 
tener que superar un proceso de autenticación, simplemente porque su dirección IP se encuentra dentro de 
una lista de “equipos de confianza” 


Políticas de seguridad deficiente o inexistente 

Muchas organizaciones no han definido e implantado de forma eficaz unas adecuadas Políticas y Procedi- 
mientos de Seguridad, de acuerdo con sus necesidades de seguridad de la información. Así, podríamos citar 
distintas situaciones que provocan vulnerabilidades en los sistemas informáticos que podrían ser aprovecha- 
das por los atacantes: 


. Política de contraseñas poco robusta: contraseñas que se pueden adivinar facilmente y que no se 
cambian con frecuencia; contraseñas compartidas entre varios usuarios; usuarios que dejan sus contraseñas 
anotadas en su mesa o que se despreocupan de su seguridad (la comunican fácilmente a terceros); etcétera. 


. Deficiente control de los intentos de acceso al sistema; las cuentas no se bloquean si se producen 
fallos de autenticación; no se registran los intentos reiterados de conexión en una misma cuenta; falta de 
seguimiento del tiempo de conexión de una sesión de usuario para detectar situaciones anómalas; etcétera. 


. Escaso rigor en el control de acceso a los recursos: usuarios registrados en el sistema con permisos de 
acceso superiores a los que necesitan. 


. Procedimientos inadecuados para la gestión de soportes informaticos o el control de equipos porta- 
tiles. 
. Escaso control de las copias generadas en papel con información sensible: ausencia de vigilancia de 


las impresoras o de la documentación archivada en armarios y cajones. Conviene señalar, ademas, que el 
“dumpster diving” (“buceo en la basura”) es una técnica de espionaje empresarial que sorprendentemente, 
ha dado buenos resultados. 


. Falta de control de los tratamientos realizados por terceros; este sería el caso, por ejemplo, de las 
empresas de informática encargadas del mantenimiento de equipos y/o de programas. 


. Deficiente o inexistente limitación del acceso físico a los equipos mas sensibles, dispositivos de red y 
cableado. 
. Instalación de programas poco fiables por parte de los usuarios sin contar con la autorización de los 


responsables de informática de la organización. 
. Despreocupación por la instalación de parches y de nuevas versiones de software en servidores y 
otros equipos críticos. Desconocimiento de los posibles agujeros de seguridad que podrían afectar a cada 


sistema o equipo informático. 


. Escasa protección de equipos portatiles que los usuarios pueden sacar de la red de la organización, y 
que podrían resultar vulnerables frente a virus, troyanos y otros códigos dañinos. 


. Registros (“logs”) de los servidores y de los dispositivos de red sin activar, o activar con información 
insuficiente y/o que apenas son consultados por los responsables. 


. Información sensible que se guarda sin encriptar en el sistema. 


. Despreocupación por el adecuado de las copias de seguridad, o por los procedimientos implantados 
para su generación y verificación periódica. 


. Transmisión de ficheros y mensajes de correo sin encriptar ni autenticar, sobre todo a través de redes 
públicas o redes basados en enlace de radio. Conviene tener en cuenta este aspecto en las redes inalámbri- 
cas, conexiones vía satélite, comunicaciones a través de redes públicas como Internet, etcétera. 


Desconocimiento y falta de sensibilización de los usuarios y de 
los responsables de informática 


Un principio básico a tener en cuenta desde el punto de vista de la Seguridad Informática es que todas las 
soluciones tecnológicas implantadas por la organización (cortafuegos, antivirus, sistemas de detección de 
intrusiones...) pueden resultar inútiles ante el desconocimiento, falta de información, desinterés o ánimo de 
causar daño de algún empleado desleal. 


De hecho, la mayoría de los problemas relacionados con la seguridad suelen tener su origen en el factor hu- 
mano. Además, en muchas organizaciones las funciones y obligaciones de cada una de las distintas personas 
que tienen acceso a los datos y a los servicios del sistema informático no se encuentran claramente definidas. 
No suele existir, por otra parte, un interés por el hecho de que los usuarios sean conscientes de la importan- 
cia de garantizar la seguridad de la información y de los restantes recursos del sistema informático, así como 
de los posibles riesgos de las consecuencias que tendrían para la organización. 


Conviene, asimismo, mencionar la falta de compromiso y de sensibilización de la Alta Dirección hacia estas 
cuestiones como una de las causas que explican esta preocupante situación en muchas organizaciones. 


Disponibilidad de herramientas que facilitan los ataques 


En Internet se pueden localizar todo tipo de programas gratuitos, faciles de utilizar gracias a sus interfaces 
graficas, con detallada documentación sobre su instalación y manejo, que permiten explotar agujeros de 
seguridad o llevar a cabo ataques mas sofisticados contra redes y sistemas informáticos. 


Por este motivo, los ataques realizados por personas sin conocimientos informáticos o con unos conocimien- 
tos mínimos (a nivel de usuario) se han multiplicado en estos últimos años. 


Limitación gubernamental al tamaño de las claves criptografi- 
cas y a la utilización de este tipo de tecnologías 


Los productos y algoritmos criptográficos se consideran tecnología susceptible de doble uso (civil y mili- 
tar). Por este motivo, muchos países de nuestro entorno, como Estados Unidos y los Estados miembros de 
la Unión Europea, han establecido distintas medidas para limitar el desarrollo y exportación de este tipo de 
productos, así como su utilización por parte de las empresas y de los ciudadanos. 


Sobre esta polémica cuestión conviene recordar la suscripción del Tratado Internacional de Wassenaar por 
distintos gobiernos para limitar el uso de sistemas criptograficos por parte de los ciudadanos. 


De hecho, en la actualidad Estados Unidos impide explotar productos que emplean algoritmos criptografi- 
cos simétricos con claves de un tamaño superior a 128 bits, imponiendo un límite de este modo a la seguri- 
dad que se podría alcanzar en los sistemas informáticos con la tecnología actual. 





Estas medidas han suscitado numerosas protestas de grupos de- 
fensoras de las libertades civiles y de los derechos de los ciuda- 
da danos en Internet. En palabras de Philip Zimmermann, autor de 
famoso programa de encriptación PGP ( quien estuvo a punto 
de ir a la cárcel de Estados Unidos por haber sacado del país el 
código fuente de este programa): “si la intimidad está al margen 
de la ley, sólo los que se encuentren al margen de la ley tendrá 
intimidad”. En este sentido, conviene destacar que los terroristas 
y delincuentes seguirán utilizando estos sistemas a pesar de su 
prohibición en algunos países. 
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Estas medidas han suscitado numerosas protestas de grupos defensoras de las libertades civiles y de los 
derechos de los ciudadanos en Internet. En palabras de Philip Zimmermann, autor de famoso programa de 
encriptación PGP ( quien estuvo a punto de ir a la cárcel de Estados Unidos por haber sacado del país el códi- 
go fuente de este programa): “si la intimidad está al margen de la ley, sólo los que se encuentren al margen 
de la ley tendrá intimidad”. En este sentido, conviene destacar que los terroristas y delincuentes seguirán 
utilizando estos sistemas a pesar de su prohibición en algunos países. 


Además, la situación se ha visto agravada a raíz de los atentados del 11 de septiembre de 2001, ya que se 
ha comprobado que los grupos terroristas y el crimen organizado utilizan sistemas criptograficos para tratar 
de proteger sus comunicaciones. 


En España la nueva Ley General de Telecomunicaciones (Ley 32/2003, de 3 de noviembre, conocida como 
LGT), en su artículo 36, que sustituye al artículo 52 de la anterior LGT, reserva al Estado la potestad de “im- 
poner la obligación de facilitar a un Órgano de la Administración General del Estado o a un organismo públi- 
co, los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste 
alguno los aparatos de cifra a efectos de su control de acuerdo con la normativa vigente”. 


Existencia de puertas traseras en los sistemas informáticos. 


Las puertas traseras, también conocida como “backdoors”, constituyen una vía de acceso no autorizado a un 
sistema informático, saltandose las medidas de protección previstas e implantadas por sus administradores. 


En algunos casos, estas puertas traseras pueden tener su origen 
en una serie de servicios que utilizan durante las fases de desa- 
rrollo de un sistema informático y que, por error o descuido, se 
mantienen en la versión final distribuida a los clientes. 





Por otra parte, también conviene destacar las dudas y recelos e Y a 
e ' A Pin 
que han surgido estos últimos años acerca de la existencia de PAM CAMA 


funciones indocumentadas y servicios instalados para facilitar el 
acceso a determinados gobiernos y Agencias de Seguridad. 





De hecho, distintos informes publicados en estos últimos años han revelado que los programas de Micro- 
soft, Lotus u otras empresas de software norteamericanas estaban especialmente adaptados para facilitar 
la descodificación de sus documentos por parte de la NSA (la famosa Agencia de Seguridad Nacional de 
Estados Unidos). 


Así, por ejemplo, en marzo de 2000 un informe de la Inteligencia Francesa acusaba a agentes secretos nor- 
teamericanos (pertenecientes a la NSA) de trabajo en el interior de la empresa Microsoft para desarrollar 
programas secretos que se incluían en los productos de esta compañía. Mediante estos programas incluidos 
en los distintos productos de Microsoft se podrían estar espiando desde Washington las comunicaciones y 
redes informáticas de todo el mundo. 


Por su parte, en marzo de 2001 el semanario alemán Der Speegel publicaba un artículo en el que se afir- 
ma que los Ministerios de Exteriores y de Defensa de Alemania disponían de ciertas informaciones de sus 
Servicios de Inteligencia, según la cual NSA controlaba todo el código fuente de Microsoft y podía acceder 
incluso a datos encriptados en los ordenadores que utilizaban estos programas. En consecuencia, el gobierno 
aleman decidió no utilizar programas de Microsoft en sus áreas mas sensibles, como los ordenadores de sus 
Fuerzas Armadas. 


Descuido de los fabricantes 


En algunos casos los propios fabricantes han contribuido a la propagación de virus y programas dañinos, al 
incluir su código en los discos duros de sus equipos con los distintos programas y herramientas del sistema. 


Así por ejemplo en junio de 2006 se publicaba la noticia de que la empresa HP había distribuido por error a 
través de su pagina web controladores de algunos modelos de sus impresoras que estaban infectados por el 
virus “FunLove”. 


Vulnerabilidades que afectan equipos 


Routers, módems 


Las vulnerabilidades detectadas en estos dispositivos permiten acceder a los equipos y redes conectadas por 
los routers y módems afectados, o facilitan la ejecución de ataques de de denegación de servicio (dos) que 
tengan como consecuencia el bloqueo total o parcial de las redes de ordenadores conectadas a través de 
estos dispositivos. 


Así por ejemplo en noviembre de 2002 se detectaba la presencia de un servicio telnet que se encontraba 
activo en el puerto 6778/tcp de los dispositivos Alcatel OmniSwitch 7700/7800 con la versión AOL (Alcatel 
Operating System) 5.1.1, que permitía el acceso a dicho equipo con privilegios administrativos sin necesidad 
de introducir una contraseña. 


A finales de abril de 2004 Cisco Systems daba a conocer un fallo en algunos modelos de sus routers, me- 
diante el cual un pirata informático podría conectarse en una forma sencilla a uno de estos dispositivos para 
forzar su apagado y reinicio, provocando de este modo una interrupción temporal en el servicio de la red 
de la organización afectada. Si este tipo de ataque se pudieras repetir de forma continua, podría provocar la 
desconexión de redes específicas (ataques de DoS). 





Cámaras web y servidores de video 


Los fallos detectados en este tipo de dispositivos permitirían el control remoto de la cámara web por parte 
de un usuario malicioso (que podría, de este modo, capturar las imágenes y cambiar la configuración de la 
cámara en cuestión) o la ejecución de un ataque de Denegación de Servicio (DoS) contra el dispositivo vul- 
nerable. 


Así, por ejemplo, en marzo de 2003 se daban a conocer varias vulnerabilidades en las camaras web de Asis, 
versiones 2100 y 2400, que podrían ser explotadas por un usuario malicioso para crear archivos arbitrarios 
o sobrescribir archivos del sistema, causando así un ataque de Denegación de Servicio (DoS). En Junio de 
2003 se informaba de una nueva vulnerabilidad que permitiría a un usuario malicioso tomar el control total 
de varios modelos de Windows y servidores de video Axis. 


En enero de 2004 se anunciaba una vulnerabilidad en la cámara de red Canon VB-C10R que podía ser explo- 
tada por usuarios maliciosa para realizar ataques de tipo “Cross Site Scripting” (XSS). 


En Agosto de 2004 se daba a conocer un nuevo virus bautizado como “RbotGR”, que podía asumir el contro! 
de las cámaras web conectadas a ordenadores infectados para luego usarlas, vía Internet para observar las 
imágenes ya audio que estas capturan en hogares y lugares de trabajo. 


De hecho en la actualidad se pueden localizar en Internet listas de cientos de camaras Web que se encuentran 
accesibles para cualquiera, ya que sus propietarios no las han protegido o configurado de la forma adecuada. 


Impresoras, escáneres, faxes, fotocopiadoras 


Las vulnerabilidades en este tipo de dispositivos podrían tener como consecuencia la sustracción de informa- 
ción reservada, la Denegación de Servicio para los usuarios de dispositivos afectados, el cambio de configu* 
ración para provocar un funcionamiento incorrecto, etcétera. 


La seguridad de las impresoras no suele despertar demasiado interés en los Departamentos de Informática. 
De hecho, siendo realistas, los usuarios solo se preocupen de comprobar si tienen papel o no, o si es necesario 
cambiar el cartucho de tinta o el tóner. Pero cuando se conectan las impresoras a una red, especialmente si 
esta tiene salida o entrada desde el exterior, pueden constituir una vía de acceso para intrusos, ya que dispo- 
nen de una dirección IP y ejecutan diversos protocolos estandar. 


Así, en un artículo publicado en Techweb en 199 se informaba de un posible ataque procedente de Rusia a la 
red interna del Centro Espacial y Naval (Spa War), en San Diego (California), a través de una de sus impreso- 
ras. Según indicaba dicho artículo, la intrusión fue descubierta por uno de los ingenieros de telecomunicacio- 
nes del centro, cuando una impresora conectada a la red tardo demasiado en empezar a imprimir un archivo 
y, tras efectuar un análisis detallado del problema se descubrió que el documento había sido “secuestrado”, 
es decir, había sido enviado desde la impresora a ala dirección IP. de un ordenador ruso, antes de ser final- 
mente impreso por el dispositivo en cuestión. 


El técnico concluyo que el intruso había conseguido tomar el control de la impresora y, a través de ella recon- 
figurada el enrutamiento de la información por un camino distinto al original, añadiendo una IP como nodo 
de país: su propio ordenador en Rusia. Afortunadamente, el documento desviado carencia de importancia 
estratégica, una mera coincidencia, pues por la misma impresora salían a diario informaciones de todo tipo, 
incluso aquellas clasificadas como “top Secret” o “For Your Eyes Only”. 


Por otra parte , resultaba bastante sencillo conseguir ene la pantalla (“display”) de una impresora HP Laser- 
Jet se mostrasen distintos mensajes en lugar del clásico “Reach” (“Listo”). Para ello bastaría con un sencillo 
programa gratuito que se puede descargar en Internet para conectarse a al impresora a partir del puerto 
9100, generando a continuación una instrucción en el leguaje PJL (“Printer Job Language”) que ordenase el 
cambio del texto, mostrando den su lugar cualquier contenido graciosos u ofensivo que pudiera molestar y 
llamar la atención de los usuarios. 


Para evitar problemas como los anteriores descritos en impresoras y otros dispositivos similares, sería con- 
veniente desactivar los servicios innecesarios (como los que permiten el control remoto del dispositivo en 
cuestión ), mantener el firmware actualizado mediante la instalación de los parches publicados por los fabri- 
cantes, y no divulgar la contraseña que permite acceder ala dispositivo, cambiando la contraseña por defecto 
configurada por el fabricante. 


Teléfonos móviles (snarfing o bluesnarfing) 


El fe£nómeno conocido como “snarfing” o “bluesnarfing”, que consiste en el acceso y control remoto de te- 
léfonos móviles y agendas electrónicas, se está convirtiendo en un problema cada vez más serio. De hecho, 
el software para acceder a la información contenida en teléfonos con tecnología Bluetooth se encuentra 
disponible en numerosos Websites de Internet. 


Bluetooth es una tecnología de comunicaciones inalámbricas de corto alcance (para distancias de unos 10 
metros), y su utilización en todo tipo de dispositivos móviles como teléfonos y agendas electrónicas empie- 
za a ser generalizado. 


Las vulnerabilidades detectadas en la tecnología Bluetooth pueden ser explotadas para sustraeré o nidificar 
la información contenida en el teléfono (como la agenda o el directorio de números de teléfono de su propie- 
tario), para el envío de mensajes SMS o MMS o para establecer una conexión a Internet desde otros termina, 
les utilizando el equipo afectado como intermediario cargando en su factura mensual el coste de la conexión 
Bluetooth desde otro dispositivo cercano y sin deportar sospechas del propietario del terminal vulnerable. 
Por este motivo, empresas como Sony Ericsson y Nokia han aconsejado a los usuarios de Bluetooth desco- 
nectar tal función cuando se encuentre en lugares públicos, como aeropuertos, cafeterías o centros comer- 
ciales, para evitar que personas no autorizadas pudieran tener acceso a sus aparatos. 


Por otra parte, cabría destacar la aparición en 2004 y 2005 de los primeros virus para teléfonos móviles, 
como “Cabir B”, “Skulls” o “Mabir”, algunos de los cuales también se pueden propagar a través de conexiones 
Bluetooth. 


Agendas electrónicas 


Las agendas electrónicas (Personal Digital Assistants), al igual que los teléfonos móviles, también pueden 
resultar vulnerables a conexiones no autorizadas realizadas mediante el puerto de infrarrojos o a través de 
la tecnología Bluetooth. 


Así por ejemplo, en octubre de 200 se daba a conocer un error de diseño en el protocolo “HotSync”, utilizado 
por las agendas PalmPilot, que permitía que cualquier emisor de infrarrojos pudiera hacerse pasar por un 
servidor “HotSync” ante un dispositivo Palm Pilot o bien acceder a la comunicación entre un Palm Pilot y un 
servidor “HotSync”. La clave de acceso de un Palm Pilot a un servidor “HotSync” se enviaba cifrada utilizando 





una sencilla operación XOR (consistente en cambiar los unos por ceros y viceversa en la clave en formato 
digital), por lo que cualquier detector de infrarrojos en el rango de alcance podría obtener la clave del usua- 
rio. Con dicha clave el atacante podría acceder a todos los recursos del Palm Pilot, incluyendo los registros 
protegidos. 


Vulnerabilidades que afectan programas y 
aplicaciones 


Sistemas operativos, servidores y bases de datos 


Durante estos últimos años se han descubierto multitud de fallos y vulnerabilidades en todos los sistemas 
operativos del mercado: las distintas versiones de Windows de Microsoft, las familias de Linux, MacOS, et- 
cétera. 


Asimismo, se han descubierto numerosas vulnerabilidades en gestores de bases de datos como Oracle o SQL 
Server y, de hecho, una de ellas facilito la rapida propagación del virus SQL Statement en el año 2003. 


Por otra parte, no debemos olvidar las innumerables vulnerabilidades en otras aplicaciones y servicios crí- 
ticos en muchas redes informáticas, como los servidores Web (como Apache para el entorno UNIX/ Linux 
o Internet Información Server para el entrono Microsoft), servidores FTP, servidores de correo electrónico 
como Sendmail, etcétera. 


Navegadores 


Desde su presentación en el año 1994, se han detectado multitud de problemas y fallos de seguridad, que 
han afectado a los navegadores más populares: Internet Explorer de Microsoft, Netscape, Opera o Firefox, y 
que podrían acarrear graves consecuencias para sus usuarios: ejecución de código arbitrario, sustracción de 
determinados ficheros del ordenador, mostrar URL's falsas en la barra de direcciones, etcétera. 


Así por citar uno de los muchos ejemplos, en septiembre de 2002 anunciaba un fallo en la implementación 
del protocolo SL (Secure Sockers Layer) en Internet Explorer. Aprovechando esta vulnerabilidad un experto 
informático sueco hizo una demostración de cómo se podía traspasar dinero de otras cuentas a la suya pro- 
pia, pasando por alto todas las medidas de seguridad, de manera transparente y sin “forzar” ningún tipo de 
sistema informático. Afortunadamente para estos clientes y para el banco, solo se trató de una demostración 
inofensiva por parte de este experto informático sueco, que quería dar a conocer el problema de seguridad. 


La vulnerabilidad de falsificación de URL's en internet 
Explorer permitió crear paginas maliciosas para engañar 
a sus usuarios, haciéndoles creer que se encontraban en 
una pagina Web distinta a la que realmente estaban vi- 
sualizando. Esta vulnerabilidad fue corregida finalmente 
en febrero de 2004, tras varios meses de espera desde 
que fuera publicada por varios expertos de seguridad. 








En septiembre de 2004 | COMPAÑÍA Microsoft daba a conocer que el navegador Internet Explorer tenía un 
grave problema de seguridad al mostrar en pantalla las imágenes con el formato “JPEG” (uno de los formatos 
más utilizados en Internet). Esta vulnerabilidad podría ser explotada por los creadores de virus y otros códi- 
gos dañinos para atacar los equipos afectados. 


Por supuesto, también se han anunciado otras vulnerabilidades similares en navegadores similares como 
Netscape, Opera o Firefox. En este sentido, los usuarios deberían ser conscientes de la importancia de actua- 
lizar estos programas con los últimos parches y actualizaciones de seguridad publicadas por sus fabricantes. 


Aplicaciones de oficina 


Estas aplicaciones se han visto afectadas por agujeros de seguridad que permitían acceder a información sen- 
sible en el equipo de la víctima, ejecutar código mediante lenguaje de macros sin tener en cuenta las medidas 
de protección contra macros, etcétera. 


Así en septiembre de 2002 Microsoft revelaba la existencia de un fallo de seguridad en su procesador de tex- 
to Word que podría permitir el robo de archivos mediante la introducción de un documento con un código 
oculto. Para ello, el usuario malicioso debería conocer exactamente el nombre del documento y su ubicación 
para poder sustraerlo del equipo de la víctima. 


Por otra parte en septiembre del 2003 se anunciaba una nueva vulnerabilidad en Word por la cual se podría 
crear un documento malicioso que no tuviese en cuenta el nivel de seguridad de macros, de tal modo que se 
podría ejecutar cualquier macro con código en Visual Basic incluida dentro de dicho documento, realizando 
distintas acciones en el equipo con los privilegios del usuario que abría el documento en cuestión. 


En junio del 2006 se daba a conocer otra vulnerabilidad que afectaba a la hoja de cálculo Excel de Microsoft, 
cuyas consecuencias podrían resultar extremadamente dañinas para sus usuarios, ya que un fichero de Excel 
malicioso podría provocar que la propia aplicación Excel se descargue y ejecute en el sistema cualquier tipo 
de archivo ejecutable. 


También en esas mismas fechas se hacían públicas otras vulnerabilidades que afectaban a las aplicaciones 
incluidas dentro del paquete Open Office. 


Otras utilidades y aplicaciones informáticas 


Se han detectado varios casos de vulnerabilidad frente a ficheros mal formados en compresores tan popula- 
res como WinZip o en aplicaciones de tratamiento de imagenes. 


Los reproductores de ficheros de audio también han re- 
sultado ser vulnerables a determinados ficheros “malicio- ] 
sos”. Así, por ejemplo, mediante ficheros MP3 maliciosos, | 


con etiquetas ID3v211 malintencionadas, se podía provo- 
car un desbordamiento de memoria en el popular repro- _J 
ductor WinAmp y ejecutar código arbitrario en el equipo 
afectado, que podría incluso facilitar su control remoto a 
un usuario malicioso. 
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Los reproductores de ficheros de audio también han resultado ser vulnerables a determinados ficheros “ma- 
liciosos”. Así, por ejemplo, mediante ficheros MP3 maliciosos, con etiquetas ID3v211 malintencionadas, se 
podía provocar un desbordamiento de memoria en el popular reproductor WinAmp y ejecutar código arbi- 
trario en el equipo afectado, que podría incluso facilitar su control remoto a un usuario malicioso. 


En agosto 2003 se anunciaba una vulnerabilidad en el manejo de archivos SMIL del reproductor RealOne que 
podría facilitar la ejecución de código malicioso en el ordenador del usuario. Posteriormente, en octubre de 
2004 se daba a conocer otra grave vulnerabilidad que afecta a los dicheros en formato RM de Real Player. 


También los juegos con módulos de comunicación en red, como Unreal o Battlefield en 1942, han sufrido 
diversas vulnerabilidades. En este caso, los fallos de seguridad pueden afectar a los servidores de juegos 
on-line, lanzando ataques de denegación de servidores (DoS) o añadiendo nuevos jugadores a una partida, 
saltándose las medidas de seguridad del servidor. No obstante, alguno de estos fallos también podría facilitar 
la ejecución de código malicioso en el ordenador de un jugador. 


Por otra parte, a finales de octubre de 2005 se daban a conocer varias vulnerabilidades graves que afectan al 
popular programa de telefonía IP Skype, que podrían ser explotadas para conducir un ataque de denegación 
de servicio (DoS) y o para comprometer el sistema de los usuarios de versiones sin actualizar, debido a po- 
sibles desbordamientos de “buffer” dentro del programa Skype, que tendrían lugar como consecuencia de 
determinadas entradas de datos maliciosas 


Responsabilidad de los desarrolladores de software 


En los últimos años se han desatado las críticas contra los fabricantes de software y de equipos informáticos, 
a raíz de las continuas vulnerabilidades descubiertas en sus productos y a las consecuencias cada vez más 
grave que estas provocan a sus usuarios. De hecho, ya se han presentado demandas para reclamar indemni- 
zaciones por daños y perjuicios contra alguno de estos fabricantes. 


Así por ejemplo, en octubre de 2003 se presentaba una demanda colectiva en el estado de California contra 
Microsoft, basada en la reclamación de que su software dominante en el mercado era vulnerable a virus ca- 
paces de provocar “fallos masivos y en cascada” en las redes de ordenadores. 


La demanda, que fue interpuesta ante la Corte Superior de Los Ángeles, también planteaba que las alertas 
de seguridad de Microsoft resultaban demasiado complejas para que pudieran ser entendidos por el público 
en general y, en cambio, servían para dar información a los intrusos sobre cómo aprovechar los fallos de sus 
programas y sistemas operativos. 


Esta demanda alegaba una competencia injusta y la violación de dos leyes de derechos del consumidor de 
California, una de las cuales tiene el propósito de proteger la privacidad de la información personal en las 
bases de datos de los ordenadores. 





Evaluación de vulnerabilidad 


Una organización puede utilizar herramientas para la evaluación de vulnerabilidades, que permiten conocer 
la situación real de un sistema y mejorar su seguridad, verificado que los mecanismos de seguridad funciona 
correctamente. Asimismo, estas herramientas pueden analizar y evaluar las vulnerabilidades del sistema in- 
formático, estableciendo un ranking en función de su severidad. 


Con la información obtenida de estas herramientas es posible justificar la implantación de nuevas medidas 
de seguridad y la obtención de más recursos económicos, así como priorizar las medidas a implantar en 
función de las vulnerabilidades detectadas, seleccionando aquellas que resulten más adecuadas teniendo en 
cuenta la relación coste-beneficio. 


Así por ejemplo, en la revisión de equipos y servidores se deberían analizar y evaluar los siguientes aspectos: 
. Parches del sistema operativo. 


. Seguridad del sistema de ficheros. 

. Cuentas de usuarios. 

. Servicios y aplicaciones instaladas. 

. Protocolos y servicios de red. 

. Control de accesos a los recursos. 

. Registro y auditoria de eventos. 

. Configuración de las herramientas de seguridad: antivirus, cortafuegos, personales, gestores de co- 
pias de seguridad. 


A la hora de utilizar una de estas herramientas para el analisis y evaluación de vulnerabilidades en un sistema 
informático, debemos tener en cuenta varios aspectos importantes para garantizar el éxito de las pruebas 
realizadas en el sistema: 


. Definición del alcance y objetivos de la pruebas a realizar. 


. Conocimientos y experiencia del equipo que analiza las vulnerabilidades y realiza las pruebas de intru- 
sión en el sistema. 


. Nivel de automatización de las pruebas realizadas, contando con el apoyo de las herramientas y me- 
todologías adecuadas. 


. Actualización periódica de la base de datos de vulnerabilidad a analizar. 
. Controlar y limitar los posibles riesgos que se deriven de la pruebas. 
Disminución del rendimiento de los equipos, denegación del servicio, exposición de información sensible. 


. Realización de las pruebas de forma periódica o en momentos puntuales (antes de la puesta de pro- 
ducción de un nuevo sistema, por ejemplo). 


. Registrar las puntuaciones resultados obtenidos en las distintas pruebas realizadas, para poder anali- 
zar la evolución en el tiempo de la seguridad en la organización. 


Asimismo, es importante elaborar una completa documentación con los resultados de las pruebas, constitui- 
da por lo menos por estos dos tipos de documentos: 


. Resumen ejecutivo dirigido a personal no técnico. 
. Informe técnico detallado, que describa el sistema objeto. 


Ejecución de test de penetración 


Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un siste- 
ma informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar. 


Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar 
manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes 
de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea 
virtualmente o de manera real) y el reporte de los resultados. 


El principal objetivo de las pruebas de penetración con- 
siste en determinar las debilidades de seguridad. 


Una prueba de penetración también puede ser utiliza- 
da para probar el cumplimiento de la política de seguri- 
dad de una organización, la conciencia de seguridad de 
sus empleados y la capacidad de la organización para 
identificar y responder a los incidentes de seguridad. 





A continuación se detallan las 6 secciones principales 
definidas por el estándar como las bases para la ejecu- 
ción de una prueba de penetración. 


Fase de recolección de información 


En esta fase del pentest nos dedicaremos a obtener toda la información posible de la empresa disponible a 
través de arañas y de scanner para hacernos una idea de los sistemas y programas en funcionamiento. La 
actividad de los empleados en redes sociales de la empresa también puede revelar que sistemas utilizan, sus 
correos electrónicos, etc. Toda esta información nos será de gran utilidad. 


Fase de modelado de amenaza 


En este momento y a partir de la información recogida previamente, debemos pensar como si fuéramos ata- 
cantes en cual va a ser nuestra estrategia de penetración. Cuáles deben ser nuestros objetivos y que manera 
tendríamos de llegar hasta ellos. Puede ocurrir que posteriormente y sobre la marcha lo que creíamos sería 
nuestra puerta de entrada se convierta en un callejón sin salida y acabemos siguiendo un camino diferente e 
inesperado, de todas maneras siempre es necesario plantear inicialmente esta estrategia. 


Fase de Análisis de vulnerabilidades 


Llegados a este punto debemos valorar el posible éxito de nuestras estrategias de penetración a través de la 
identificación proactiva de vulnerabilidades. En este momento es cuando la habilidad del pentester se pone 
de manifiesto ya que la creatividad del mismo es determinante para seleccionar y utilizar correctamente 
todo el arsenal de herramientas a su disposición para conseguir los objetivos establecidos en pasos anterio- 
res. 


Fase de Explotación 


Ha llegado el momento de intentar conseguir acceso a los sistemas objetivo de nuestro test de penetración, 
para ello ejecutaremos exploits contra las vulnerabilidades identificadas en fases anteriores o simplemente 
utilizaremos credenciales obtenidas para ganar acceso a los sistemas. 


Fase de Post-Explotación 


En el momento en que hayamos puesto un pie dentro de los 
sistemas del cliente comienza la fase en la que hemos de de- 
mostrar que podría suponer esta brecha de seguridad para el 
cliente. No es lo mismo conseguir acceder a un antiguo orde- 
nador que no sea tan siquiera parte del dominio como entrar 
directamente a un DC. En esta fase tratamos de conseguir el 
maximo nivel de privilegios, información de la red y acceso al 
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mayor número posible de sistemas identificando que datos ¿[eo lfylola ANO 
y/o servicios tenemos a nuestro alcance. 





Fase de Informe 


Finalmente tenemos que presentar el resultado de la auditoría al cliente, de manera que este comprenda 
la seriedad de los riesgos emanantes de las vulnerabilidades descubiertas, remarcando aquellos puntos en 
los que la seguridad se había implantado de manera correcta y aquellos que deben ser corregidos y de qué 
manera. Esta fase es para las dos partes posiblemente la más importante. Como posiblemente este informe 
sea leído tanto por personal de IT como por responsables sin conocimientos técnicos conviene separar el 
informe en una parte de explicación general y en otra parte más técnica lo que vendría a ser por una parte el 
informe ejecutivo y el informe técnico. 


Sombrero blanco 


Las pruebas de penetración a veces se llaman “ataques de sombrero blanco” debido a que en una prueba de 
este tipo los tipos buenos están tratando de entrar a la fuerza. 


Las estrategias de prueba de penetración son: 


Pruebas orientadas a un objetivo 
Estas pruebas selectivas se llevan a cabo en conjunto por el equi- 
po de Tl de la organización y el equipo de pruebas de penetra- 
ción. A veces se le llama un enfoque de “luces encendidas” por- 
que cualquiera puede ver el examen que se lleva a cabo. 
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Comprobación externa 
Este tipo de prueba de penetración se dirige a los servidores o dispositivos de la compañía que son visibles 
externamente, incluyendo servidores de nombres de dominio (DNS), servidores de correo electrónico, ser- 
vidores web o firewalls. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede 
llegar una vez que ha obtenido acceso. 


Pruebas internas 

Esta prueba simula un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso 
estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un empleado descontento podría 
causar. 


Pruebas a ciegas 

Una estrategia de prueba a ciegas simula las acciones y procedimientos de un atacante real, limitando se- 
veramente la información dada de antemano a la persona o equipo que esta realizando la prueba. Por lo 
general, solo se les puede dar el nombre de la empresa. Debido a que este tipo de prueba puede requerir una 
cantidad considerable de tiempo para el reconocimiento, puede ser costosa. 


Pruebas de doble ciego 

Las pruebas de doble ciego toman la prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de 
penetración, solo una o dos personas de la organización pueden ser conscientes de que se esta realizando 
una prueba. Las pruebas de doble ciego pueden ser útiles para probar el monitoreo de seguridad y la identi- 
ficación de incidentes de la organización, así como sus procedimientos de respuesta. 


Sombrero negro 


Los hackers de sombrero negro, son personas que cuentan 
con una conocimiento amplio para pasar todos los protoco- 
los de seguridad, así pueden ingresar a cualquier red infor- 
matica, sin ningún problema; además son las personas que 
realizan malware, así pueden obtener acceso a cualquier or- 
denador. La motivación de estos hacker es el beneficio per- 
sonal y financiero, los hackers de sombrero negro, son las 
personas que se encuentran implicados en los espionajes 
cibernéticos; estas personas tienen la capacidad para pro- 
pagar los malware o robar cualquier información financiera. 





Los hackers de sombrero negro entran a redes seguras para destruir los datos o hacerlas inutilizables para 
aquellos que tengan acceso autorizado. La forma en que eligen las redes a las que van a entrar es un proceso 
que puede ser dividido en tres partes: 


Elección de un objetivo: El hacker determina a que red irrumpir durante esta fase. El objetivo puede ser de 
especial interés para el hacker, ya sea política o personalmente, o puede ser elegido al azar. Luego, el hacker 
revisará los puertos de una red para determinar si es vulnerable a ataques, lo cual simplemente es probar to- 
dos los puertos de una máquina anfitrión en busca de una respuesta. Un puerto se define como una abertura 
por la que la computadora recibe datos a través de la red.7 Los puertos abiertos —aquellos que respondan— 
le permitirían a un hacker tener acceso al sistema. 


Recopilación de información e investigación: Es en esta etapa que el hacker visita o hace contacto con el 
objetivo de alguna manera con la esperanza de descubrir información vital que le ayudara a acceder al sis- 
tema. La principal forma en que los hackers obtienen los resultados deseados durante esta etapa es la de 
la ingeniería social. Ademas de la ingeniería social, los hackers también pueden utilizar una técnica llamada 
recolección urbana, que es cuando un hacker, literalmente, bucea en un contenedor de basura con la espe- 
ranza de encontrar los documentos que los usuarios han tirado, lo cual le ayudará a obtener acceso a una red. 


Finalización del ataque: Esta es la etapa en la que el hacker invadirá al objetivo preliminar que había planeado 
atacar o robar. En este punto, muchos hackers pueden ser atraídos o atrapados por sistemas conocidos como 
honeypot trampa colocada por el personal de seguridad informática. 


Sombrero gris 


Los hackers de sombrero gris, son las personas que realizan actividades que ejecutan los hackers de sombre- 
ro negro y sombrero blanco; los hackers de sombrero gris buscan vulnerabilidad de los sistemas con o sin el 
permiso de los propietarios de las plataformas. 


En caso que el hackers consiga un problema en la plataforma se comunica con el propietario, así le solicita 
una tarifa monetaria, así solucionan el problema de vulnerabilidad, pero si el propietario no cumple, el hacker 
publica la información al público. Así que la próxima vez que escuches la palabra hackers, no se debe asociar 
directamente a los ciberdelincuentes. 


Otros sombreros 


Crackers 


Estos Hacker pertenecerían más a Black Hats entran en sistemas vulnerables y hacen daño robando infor- 
mación, dejando malware, troyanos en el sistema y crean otras vulnerabilidades para entrar nuevamente 
cuando les plazca. 


Phreaker 


Se podría decir que son los Hacker de los sistemas telefónicos, telefonía móvil, tecnologías inalambricas y 
VolP. Se dedican a investigar los sistemas telefónicos para sacar beneficio. Normalmente para desbloquear, 
clonar y programar teléfonos móviles robados. 


Newbie 





Es el novato de los Hacker, que ha leído poco sobre el tema y utiliza aplicaciones creadas por otros Hacker 
para intentar penetrar en los sistemas, pero raramente lo consigue. Es un principiante que es inofensivo y 
solo busca información sobre Hacking. 


Lammer 


Los Lammer son lo que se creen que saben de Hacking pero no tienen conocimientos para entender la lógica 
de lo que pasa, solo se dedican a usar aplicaciones de otros para sus fines, sin conocimiento de las mismas. 
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Normativas y regulaciones 
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Normativas para la seguridad de los sistemas 


¿Qué son las normas de seguridad? 


Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar 
respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, dele- 
gación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad 
establecidas para el entorno administrativo de la red institucional. 


Una norma de seguridad establece unos requisitos que se sustentan en la política y que regulan determina- 
dos aspectos de seguridad. Son por tanto, declaraciones a satisfacer. Una norma debe ser clara, concisa y no 
ambigua en su interpretación. 


En cuanto a la estructura de un documento normativo, se recomienda estructurarlo en los siguientes apar- 
tados: 


Objetivo: declaración del propósito o intención de la redacción del documento y de los objetivos de seguri- 
dad relacionados con la política que se intentan satisfacer. 


Definiciones: Se indican las definiciones de aquellos términos que aparezcan en la norma y que pudieran 
ofrecer dificultad para su comprensión. Es una forma de eliminar la ambiguedad en la interpretación al esta- 
blecer el significado en la norma de los términos utilizados. 


Responsables del cumplimiento: se define dentro de la Organización qué departamento o responsable vela- 
rá por el cumplimiento de la norma y revisará su correcta implantación o cumplimiento. 


Incumplimiento: se establecen las consecuencias que se derivarán del incumplimiento de la norma cuando 
éste sea detectado o las acciones disciplinarias que ocasionarán. 


Normas a aplicar: debe contener los requisitos de seguridad que se declaran de obligado cumplimiento. 
Podrán agruparse los requisitos por categorías, estableciendo apartados donde se agrupen los requisitos 


relacionados. También los enunciados pueden numerarse para poder posteriormente referenciarlos. 


Documentos relacionados: se indican otros documentos del marco normativo que pudieran estar relaciona- 
dos con el cumplimiento de la norma. 


En cuanto a las recomendaciones en la redacción del documento, se debe procurar que: 


. El cumplimiento debe ser factible a nivel organizativo y técnico. 

. La redacción debe ser clara y resumida. 

. Las afirmaciones realizadas dentro del apartado “Normas a aplicar” deben ser taxativas, no ambiguas 
y deben permitir la revisión o auditoría del cumplimiento del hecho reglado. 

. El tiempo verbal de las normas debe ser presente de indicativo. 

. La divulgación se realizará entre las áreas afectadas o implicadas en el cumplimiento. 

. Su aprobación debe estar formalizada, indicando los plazos de vigencia y de revisión de la norma. 


Debe estar bajo un control de versiones. 


Las normas aportan los conocimientos que las organizaciones necesitan para tener éxito, y los aportan de 
forma determinada. Pueden ofrecer un conjunto de potentes herramientas como el Sistema de Gestión de 
la Seguridad de la Información (SGSI) centrado en ISO 27001 para hacer que su organización sea más inno- 
vadora y productiva. 


La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, inte- 
gridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. 
Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de 
la información: 


. Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o proce- 
sos no autorizados. 


. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proce- 
so. 
. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por 


parte de los individuos, entidades o procesos autorizados cuando lo requieran. 


Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un 
proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empre- 
sarial. Este proceso es el que constituye un SGSI. 


Las políticas de seguridad son una forma de comunicación con el personal, ya que las mismas constituyen un 
canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su 
vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege 
y maneja los riesgos de diferentes daños, sin importar el origen de estos. 


Las políticas de seguridad deben incluir lo siguiente: 


Resumen de la política: La información debe ser siempre protegida, cualquiera que sea su forma de ser com- 
partida, comunicada o almacenada. 


Introducción: La información puede existir en diversas formas: impresa o escrita en papel, almacenada elec- 
trónicamente, transmitida por correo o por medios electrónicos, mostrada en proyecciones o en forma oral 
en las conversaciones. 


La seguridad de la información es la protección de la información contra una amplia gama de amenazas con 
el fin de garantizar la continuidad del negocio, minimizar los riesgos empresariales y maximizar el retorno de 
las inversiones y oportunidades de negocio. 


Alcance: Esta política apoya la política general del Sistema de Gestión de Seguridad de la Información de la 
organización. Esta política es de consideración por parte de todos los miembros de la organización. 


Objetivos de seguridad de la información: Comprender y tratar los riesgos operacionales y estratégicos en 
seguridad de la información para que permanezcan en niveles aceptables para la organización. La protección 
de la confidencialidad de la información relacionada con los clientes y con los planes de desarrollo. La conser- 
vación de la integridad de los registros contables. 





Los servicios Web de acceso público y las redes internas cumplen con las especificaciones de disponibilidad 
requeridas. Entender y dar cobertura a las necesidades de todas las partes interesadas. 


Principios de seguridad de la información: Esta organización afronta la toma de riesgos y tolera aquellos 
que, en base a la información disponible, son comprensibles, controlados y tratados cuando es necesario. Los 
detalles de la metodología adoptada para la evaluación del riesgo y su tratamiento se encuentran descritos 
en la política del SGSI. 


Todo el personal será informado y responsable de la seguridad de la información, según sea relevante para el 
desempeño de su trabajo. Se dispondra de financiación para la gestión operativa de los controles relaciona- 
dos con la seguridad de la información y en los procesos de gestión para su implantación y mantenimiento. 


Se tendrán en cuenta aquellas posibilidades de fraude relacionadas con el uso abusivo de los sistemas de 
información dentro de la gestión global de los sistemas de información. Se harán disponibles informes regu- 
lares con información de la situación de la seguridad. 


Los riesgos en seguridad de la información serán objeto de seguimiento y se adoptaran medidas relevantes 
cuando existan cambios que impliquen un nivel de riesgo no aceptable. Los criterios para la clasificación y la 
aceptación del riesgo se encuentran referenciados en la política del SGSI. 


Las situaciones que puedan exponer a la organización a la violación de las leyes y normas legales no serán 
toleradas. 


Responsabilidades: El equipo directivo es el responsable de asegurar que la seguridad de la información se 
gestiona adecuadamente en toda la organización. 


Cada gerente es responsable de garantizar que las personas que trabajan bajo su control protegen la infor- 
mación de acuerdo con las normas establecidas por la organización. El responsable de seguridad asesora al 
equipo directivo, proporciona apoyo especializado al personal de la organización y garantiza que los infor- 
mes sobre la situación de la seguridad de la información estan disponibles. 


Cada miembro del personal tiene la responsabilidad de mantener la seguridad de información dentro de las 
actividades relacionadas con su trabajo. 


Indicadores clave: Los incidentes en seguridad de la información no se traducirán en costes graves e inespe- 
rados, o en una grave perturbación de los servicios y actividades comerciales. Las pérdidas por fraude seran 
detectadas y permanecerán dentro de unos niveles aceptables. 


La aceptación del cliente de los productos o servicios no se verá afectada negativamente por aspectos rela- 
cionados con la seguridad de la información. 


Políticas relacionadas: A continuación, se detallan aquellas políticas que proporcionan principios y guía en 
aspectos específicos de la seguridad de la información: 


. Política del Sistema de Gestión de Seguridad de la Información (SGSI). 
o Política de control de acceso físico. 

. Política de limpieza del puesto de trabajo. 

. Política de software no autorizado. 

. Política de descarga de ficheros (red externa/interna). 


. Política de copias de seguridad. 

. Política de intercambio de información con otras organizaciones. 
. Política de uso de los servicios de mensajería. 

. Política de retención de registros. 

. Política sobre el uso de los servicios de red. 

. Política de uso de informática y comunicaciones en movilidad. 
. Política de teletrabajo. 

. Política sobre el uso de controles criptográficos. 

. Política de cumplimiento de disposiciones legales. 

. Política de uso de licencias de software. 

. Política de protección de datos y privacidad. 


En un nivel inferior, la política de seguridad de la información debe ser apoyada por otras normas o proce- 
dimientos sobre temas específicos que obligan aún más la aplicación de los controles de seguridad de la in- 
formación y se estructuran normalmente para tratar las necesidades de determinados grupos dentro de una 
organización o para cubrir ciertos temas. 


Regulación de la seguridad de las listas de acceso 


El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o 
cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, area o sector dentro de 
una empresa o institución. Algunas medidas que se pueden tomar son las siguientes: 


. Utilización de Guardias 

. Utilización de Detectores de Metales 

. Utilización de Sistemas Biométricos (manos, ojos, huellas digitales y voz). 
. Verificación Automática de Firmas 

. Seguridad con Animales 

. Protección Electrónica 


Otras medias pueden ser la Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que 
resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.” 


Los objetivos que se plantean serán: 


. Restringir el acceso a los programas y archivos. 

. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los 
programas ni los archivos que no correspondan. 

. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento 
correcto. 

. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 
. Que la información recibida sea la misma que ha sido transmitida. 

. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. 

. Que se disponga de pasos alternativos de emergencia para la transmisión de información. 


Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases 
de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante 
ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización 
o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad 
de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no 


autorizados. 


Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por 
ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de 
acceso (solicitado por un usuario) a un determinado recurso. 


Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estándares 
de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema: 


. Identificación y Autentificación 

. Roles 

. Transacciones 

. Limitaciones a los Servicios 

. Modalidad de Acceso (Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la 
información ) 

. Ubicación y Horario 

. Control de Acceso Interno 

. Control de Acceso Externo 

. Administración 


El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange Book, desarrollado 
en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Esta- 
dos Unidos. Los niveles describen diferentes tipos de seguridad del Sistema 


Operativo y se enumeran desde el mínimo grado de seguridad al maximo. Estos niveles han sido la base de 
desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO /IEC). Cabe aclarar que cada 
nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, Gl 
y el D. 


. Nivel D: Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y 
no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables, no hay protección para el 
hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus dere- 
chos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 
7.0 de Macintosh. 


. Nivel C1: Protección Discrecional: Se requiere identificación de usuarios que permite el acceso a dis- 
tinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usua- 
rios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de 
administración del sistema sólo pueden ser realizadas por este “super usuario” quien tiene gran responsabi- 
lidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que 
en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay 
forma de distinguir entre los cambios que hizo cada usuario. A continuación se enumeran los requerimientos 
mínimos que debe cumplir la clase C1: 


O Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usua- 
rios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán 
actuar usuarios o grupos de ellos. 

O Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecu- 
tar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización O 
identificación. 





. Nivel C2: Protección de Acceso Controlado: Este subnivel fue diseñado para solucionar las debilidades 
del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar 
una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún mas el 
que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a 
usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización. Re- 
quiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacio- 
nadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La 
auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando 
es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el 
subsistema de discos. Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de 
administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas 
relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el admi- 
nistrador del sistema. 


. Nivel B1: Seguridad Etiquetada: Este subnivel, es el primero de los tres con que cuenta el nivel B. So- 
porta seguridad multinivel, como la secreta y ultra secreta. Se establece que el dueño del archivo no puede 
modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto del sistema 
(usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, 
reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.). Cada usuario que accede a un 
objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos 
asociados. También se establecen controles para limitar la propagación de derecho de accesos a los distintos 
objetos. 


. Nivel B2: Protección Estructurada: Requiere que se etiquete cada objeto de nivel superior por ser pa- 
dre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un 
objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco 
rígido sera etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz 
de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es 
el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demas usuarios. 


. Nivel B3: Dominios de Seguridad: Refuerza a los dominios con la instalación de hardware: por ejem- 
plo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no 
autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia 
que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso 
que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para 
permitir analisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte 
al sistema por medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a 
los que puede acceder. 


. Nivel A: Protección Verificada: Es el nivel mas elevado, incluye un proceso de diseño, control y verifi- 
cación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario 
sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben 
incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar analisis de cana- 
les encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones 
ante traslados o movimientos del equipamiento. 
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Tipos de seguridad 


La seguridad activa es aquella que se centra en prevenir o evitar daños a los sistemas informáticos en con- 
junto, ya sea de hardware o de software o de red. Los mecanismos más habituales relacionados con la segu- 
ridad activa son por ejemplo los antivirus, los controles de acceso a salas de servidores, la encriptación de la 
información, los sistemas de redundancia de hardware, etc... 


La seguridad pasiva, no es lo contrario a la seguridad activa, es un complemento que entra en marcha cuan- 
do las medidas de seguridad activa no han sido suficientes para frenar una amenaza. Un ejemplo claro es el 
tema de las copias de seguridad. Realizar copias de seguridad es poner en marcha una seguridad activa, ya 
que nos anticipamos al riesgo de perder información. 


Sin embargo, el recuperar un fichero de una copia de seguridad, pasa a ser seguridad pasiva. Esto es, así pues, 
una vez producido el daño, ponemos los medios para subsanarlo. Hablamos en este caso de que en la segu- 
ridad pasiva somos reactivos ya actuamos cuando ya se ha producido el daño. 


La seguridad de Hardware se utiliza cuando adoptamos me- 
didas para proteger todos nuestros elementos físicos de po- 
sibles daños de cualquier índole. Es muy similar al concepto 
de seguridad física, pero la complementa al incluir mecanis- 
mos adicionales de protección como por ejemplo el uso de 
SAI, o sistemas de alimentación ininterrumpida que protegen 
a nuestros equipos físicos de sobre tensiones o de faltas de 
alimentación. 


Engloba también todo tipo de redundancias a nivel físico de 
los servidores para garantizar su correcto funcionamiento de 
forma ininterrumpida. 





La seguridad de Software es la que se centra en proteger nuestro software de amenazas. Cada vez este 
tipo de seguridad está cogiendo mayor relevancia ya que cada vez mas el software adquiere importancia 
fundamental en los sistemas. Aquí englobamos los mecanismos de protección contra virus, hackers y robo 
de información sensible. 


Por último, hablamos de seguridad de red cuando nos focalizamos en los mecanismos de protección de las 
redes corporativas de empresas o incluso de redes más domésticas. Es esta seguridad quizás la más compleja 
de gestionar ya que un ataque a un equipo conectado a la red, fácilmente se propagará por la misma a otros 
equipos si no ponemos los medios necesarios. 





Ingeniería social 


La ingeniería social es un conjunto de técnicas que usan 
los cibercriminales para engañar a los usuarios incautos 
para que les envíen datos confidenciales, infecten sus 
computadoras con malware o abran enlaces a sitios in- 
fectados. Además, los hackers pueden tratar de aprove- 
charse de la falta de conocimiento de un usuario; debido 
a la velocidad a la que avanza la tecnología, numerosos 
consumidores y trabajadores no son conscientes del va- 
lor real de los datos personales y no saben con certeza 
cuál es la mejor manera de proteger esta información. 





Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus intereses. En ge- 
neral, los ataques de Ingeniería Social actúan en dos niveles: el físico y el psicosocial. El primero describe los 
recursos y medios a través de los cuales se llevara a cabo el ataque, y el segundo es el método con el que se 
engañará a la víctima. 


Las formas usadas a nivel físico son: 


Ataque por teléfono: Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una lla- 
mada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado 
de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo 
único que se requiere es un teléfono. 


Ataque vía Internet: Desde que Internet se volvió uno de los medios de comunicación más importantes, la 
variedad de ataques en red se incrementaron tanto como la gran cantidad de servicios que existen en él. Los 
ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infec- 
tando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) 
o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros. 


Dumpster Diving o Trashing (zambullida en la basura): Consiste en buscar información relevante en la 
basura, como: agendas telefónicas, organigramas, agendas de trabajo, unidades de almacenamiento (CD's, 
USB's, etc.), entre muchas otras cosas. 


Ataque vía SMS: Ataque que aprovecha las aplicaciones de los celulares. El intruso envía un mensaje SMS a 
la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, luego, si la persona lo 
responde puede revelar información personal, ser víctima de robo o dar pié a una estafa más elaborada. 


Ataque vía correo postal: Uno de los ataques en el que la víctima se siente más segura, principalmente por la 
fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna sus- 
cripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, 
se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos. 


Ataque cara a cara: El método más eficiente, pero a la vez el mas difícil de realizar. El perpetrador requiere 
tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier si- 
tuación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un 
gran reto para el atacante cumplir su objetivo si elige bien a su víctima. 





Por otro lado, existen entornos psicológicos y sociales que pueden influir en que un ataque de ingeniería 
social sea exitoso. Algunos de ellos, son: 


“Exploit de familiaridad”: Táctica en que el atacante aprovecha la confianza que la gente tiene en sus amigos 
y familiares, haciéndose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido 
llega a una fiesta con uno de sus amigos. En una situación normal nadie dudaría de que ese individuo pudiera 
no ser de confianza. Pero ¿de verdad es de fiar alguien a quien jamás hemos tratado? 


Crear una situación hostil: El ser humano siempre procura alejarse de aquellos que parecen estar locos o 
enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil justo antes de un 
punto de control en el que hay vigilantes, provoca el suficiente estrés para no revisar al intruso o responder 
sus preguntas. 


Conseguir empleo en el mismo lugar: Cuando la recompensa lo amerita, estar cerca de la víctima puede ser 
una buena estrategia para obtener toda la información necesaria. Muchas pequeñas y medianas empresas no 
realizan una revisión meticulosa de los antecedentes de un nuevo solicitante, por lo que obtener un empleo 
donde la víctima labora puede resultar facil. 


Leer el lenguaje corporal: Un ingeniero social experimentado puede hacer uso y responder al lenguaje cor- 
poral. El lenguaje corporal puede generar, con pequeños, detalles una mejor conexión con la otra persona. 
Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones más efectivas. Si 
la víctima parece nerviosa, es bueno reconfortarla. Si está reconfortada, ¡al ataque! 


Explotar la sexualidad: Técnica casi infalible. Las mujeres que juegan con los deseos sexuales de los hombres, 
poseen una gran capacidad de manipulación, ya que el hombre baja sus defensas y su percepción. Probable- 
mente suene asombroso, pero es aprovechar la biología a favor. 


Fisica y lógica 


La seguridad física se refiere básicamente a la protección de todos nuestros elementos desde el punto de 
vista de posibles desastres naturales como incendios, terremotos o inundaciones, así como también de otras 
amenazas externas como puede ser robo, problemas eléctricos. Las diferentes medidas que se suelen tomar 
pasan por adecuar el espacio dedicado al site de forma que las amenazas mencionadas queden mitigadas lo 
maximo posible. 


Elementos de la seguridad física 


Barreras perimetrales: son barreras físicas como las vallas de contención, mallas y cercas, que son las que 
determinan la frontera entre predios y define la propiedad privada. En seguridad estos elementos son reque- 
ridos para retrasar el ingreso de personas inescrupulosas o en el caso de un atentado reaccionar mas rápido, 
porque las barreras retrasan la intromisión de los delincuentes, mientras los vigilantes alertan a la policía. 


Estas barreras, son el anillo mas lejano del punto seguro, es decir, desde esta barrera empieza a construirse 
y ensamblarse todos los sistemas de seguridad. Estas barreras son las más importantes del sistema de la 
seguridad física porque son las que cobijan el lugar y las que evitarán la entrada de personas externas sin 
identificarse debidamente. 





Control de acceso: es el mecanismo que permite identificar a una persona por medio de una clave o un lector 
biométrico, que pasa por tres pasos (autenticación, autorización y trazabilidad) para poder acceder al lugar 
o a la información que se requiera, según sea el caso. Aunque este control no en todos los casos es electróni- 
camente, ya que en los edificios residenciales los guardas de seguridad ya conocen la persona que reside en 
el lugar y los dejan pasar sin un control de acceso. 


En una empresa este elemento restringe el paso del personal en diferentes horarios, por ejemplo, los traba- 
jadores no pueden acceder a las instalaciones en cierto horario y el control de acceso se encarga de negar la 
entrada. Por otro lado, este elemento envía información de la persona y la hora en la que hizo el acceso, lo 
que ayuda a tener un mayor control por medio de una base de datos. 


Sistema de alarma: es un aplicativo que envía información de alerta a las autoridades o activa una sirena para 
irrumpir en la tranquilidad del espacio y poner en estado de emergencia el lugar. 


Una alarma por sí sola no evita una situación de hurto, lo que realmente hace es crear una alerta, algunas lo 
hacen solo por medio del sonido, mientras otras suenan y envían mensajes o llamadas automáticamente a 
los números de teléfono que estén configurados. 


Los sistemas de alarmas funcionan con sensores de movimiento, gas, humo y agua, que activan y envían la 
alerta. Este es un elemento indispensable para tener una óptima seguridad física. Aunque también pueden 
activarse por medio de un botón de pánico que se ubica en un lugar clave del establecimiento. 


Circuito cerrado de televisión (CCTV): es un sistema de video vigilancia, que permite observar todo un es- 
pacio por medio de camaras de seguridad enlazadas y conectadas a pantallas de transmisión. Usualmente las 
pantallas de transmisión se agrupan en un cuarto donde hay personal de seguridad que se encarga de vigilar 
lo que sucede en el entorno, sin necesidad de estar fuera. 


Detectores de incendio: es una alarma que identifica la presencia de humo en el ambiente y reconoce los 
componentes extraños en el lugar. Existen dos clases de detectores, uno es el gestor de ¡ones que se encarga 
de detectar gases tóxicos y sustancias en el ambiente, que no son visibles, los otros son los detectores ópti- 
cos, que detectan humo más pesado y que es visible. 


Guardas de seguridad: son las personas uniformadas que proyectan seguridad y monitorizan todos los ele- 
mentos nombrados anteriormente. Son la cara de la seguridad privada. 


La seguridad lógica, sin embargo, se encarga de proteger todo lo relacionado con el software o la informa- 
ción contenida en los equipos. Complementa perfectamente a la seguridad física mediante el uso de antivi- 
rus, encriptación de la información, ataques de hackers externos y otros mecanismos para la protección y 
privacidad de la información de cada usuario de la red. 





Etapa 4 
Analisis de ataques 





Analisis de riesgo 


Es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren 
protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar 
su grado de riesgo y contiene una serie de elementos a considerar para realizar el análisis. 


Clasificación y Flujo de Información 


La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y significa defi- 
nir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de 
acceso a los datos e informaciones. Considerando el contexto de nuestra misión institucional, tenemos que 
definir los niveles de clasificación como por ejemplo: confidencial, privado, sensitivo y público. Cada nivel 
define por lo menos el tipo de persona que tiene derecho de acceder a los datos, el grado y mecanismo de 
autenticación. 


Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de información in- 
ternos y externos, para saber quiénes tienen acceso a qué información y datos. 


Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque ambas 
cosas influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de protección. 
Porque solo si sabemos quiénes tienen acceso a qué datos y su respectiva clasificación, podemos determinar 
el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado. 


Clasificación y Flujo de Información 


* Identificar tipo de datos e información y clasificarlo 
- Confidencial (acceso restringido: personal interno autorizado] 
- Privado (acceso restringido: personal interno) 
Sensilivo (acceso controlado: personal interno, público 
externo con permiso) 
Público 


* Análisis de flujo de información 
- Observar cuáles instancias manejan que información 
- Identificar grupos extemos que dependen o están interesados 
en la información 
- Determinar si se deben efectuar cambios en el manejo de la 
Información 











Analisis de Riesgo 


Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos retos las variables son 
difíciles de precisar y en su mayoría son estimaciones y llegan casi a los mismos resultados y conclusiones. 


En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo. 
La valoración del riesgo basada en la fórmula matemática 


Riesgo = Probabilidad de Amenaza x Magnitud de Daño 


Analisis de Riesgo 

Para la presentación del resultado (riesgo) se usa una 
gráfica de dos dimensiones, en la cual, el eje-x (hori- Riesgo = Probabilidad de Amenaza * Magnitud de Daño 
zontal, abscisa) representa la “Probabilidad de Ame- | 
naza” y el eje-y (vertical, ordenada) la “Magnitud de 
Daño”. La Probabilidad de Amenaza y Magnitud de 
Daño pueden tomar condiciones entre Insignificante 
(1) y Alta (4). En la práctica no es necesario asociar 
valores aritméticos a las condiciones de las variables, lor 
sin embargo facilita el uso de herramientas técnicas | 5 
como hojas de cálculo. > 

Probabilidad de AMOñaza 


AO 


= 
E 
Y 
= 
= 








Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Daño no es fijo y puede ser 
adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de 
Amenaza puede tomar hasta seis diferentes condiciones. 


Como mencioné, el reto en la aplicación del método es precisar o estimar las condiciones (valores) de las 
dos variables, porque no basen en parametros claramente medibles. Sin embargo, el análisis de riesgo nos 
permite ubicar el riesgo y conocer los factores que influyen, negativa- o positivamente, en el riesgo. 

En el proceso de analizar un riesgo también es importante de reconocer que cada riesgo tiene sus caracte- 


rísticas: 

. Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad) 

. Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad) 

. No siempre es percibido de igual manera entre los miembros de una institución que talvez puede 


terminar en resultados inadecuados y por tanto es importante que participan las personas especialistas de 
los diferentes elementos del sistema (Coordinación, Administración financiera, Técnicos, Conserje, Soporte 
técnico externo etc.) 


El modelo se pude aplicar a los diferentes elementos de manera aislada, sino también al sistema completo, 
aunque en el primer caso, el resultado final será más preciso pero también requiere más esfuerzo. 


Entre mas alta la Probabilidad de Amenaza y Magnitud de Daño, más grande es el riesgo y el peligro al siste- 
ma, lo que significa que es necesario implementar medidas de protección. 


Probabilidad de Amenaza 


Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir cuando un evento se realizó. 
Pero el ataque no dice nada sobre el éxito del evento y sí o no, los datos e informaciones fueron perjudicado 
respecto a su confidencialidad, integridad, disponibilidad y autenticidad. 


¿Cómo valorar la Probabilidad de Amenaza? 


« Consideraciones 
- Interés o la atracción por parte de individuos extemos 
- Nivel de vulnerabilidad 
Frecuencia en que ocurren los incidentes 


* Valoración de probabilidad de amenaza 

- Baja: Existen condiciones que hacen muy lejana la 
posibilidad del ataque 

- Mediana: Existen condiciones que hacen poco probable un 
alaque en corto plazo, pero no son suficientes para evitarlo 
en el largo plazo 

- Alta: Ataque es inminente. No existen condiciones internas y 
externas que impidan el desarrollo del ataque 





Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas 


. ¿Cuál es el interés o la atracción por parte de individuos externos, de atacarnos? Algunas razones 
pueden ser que manejamos información que contiene novedades o inventos, información comprometedora 
etc, talvez tenemos competidores en el trabajo, negocio o simplemente por el imagen o posición pública que 
tenemos. 


. ¿Cuales son nuestras vulnerabilidades? Es importante considerar todos los grupos de vulnerabilida- 
des. También se recomienda incluir los expertos, especialistas de las diferentes áreas de trabajo para obtener 
una imagen más completa y más detallada sobre la situación interna y el entorno. 


. ¿Cuantas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una ame- 
naza y si su ocurrencia es frecuente, más grande es la probabilidad que pasará otra vez. En el caso de que 
ya tenemos implementadas medidas de protección es importante llevar un registro, que muestra los casos 
cuando la medida se aplicó exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si 
todavía existe la amenaza y segundo, cuál es su riesgo actual. 


Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin embargo, 
antes tenemos que definir el significado de cada condición de la probabilidad (Baja, Mediana, Alta). Las defi- 
-niciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la 
realidad y la opinión común y por tanto se recomienda que cada institución defina sus propias: 


Magnitud de Daño 


¿Cuándo hablamos de un Impacto? 


Se habla de un Impacto, cuando un ataque 


exitoso perjudicó la confidencialidad, integri- Se pierde la información conocimiento 

dad, disponibilidad y autenticidad de los datos | | 

e informaciones. Terceros tienen acceso a la información conocimiento 
Estimar la Magnitud de Daño generalmente es Información ha sido manipulada o esta incompleta 


una tarea muy compleja. La manera más facil 
es expresar el daño de manera cualitativa, lo 
que significa que aparte del daño económico, 
también se considera otros valores como da- 
ños materiales, imagen, emocionales, entre 
otros. Expresarlo de manera cuantitativa, es 
decir calcular todos los componentes en un 
solo daño económico, resulta en un ejercicio 
aún más complejo y extenso. 


Información 'conocimiento o persona no está 
disponible 


' Cambio de legitimidad de la fuente de información 





Un punto muy esencial en el análisis de las consecuencias es la diferenciación entre los dos propósitos de 
protección de la Seguridad Informática, la Seguridad de la Información y la Protección de datos, porque nos 
permite determinar, quien va a sufrir el daño de un impacto, nosotros, otros o ambos. En todo caso, todos 
nuestros comportamientos y decisiones deben ser dirigidos por una conciencia responsable, de no causar 
daño a otros, aunque su realidad no tenga consecuencias negativas. 


Otras preguntas que podemos hacernos para identificar posibles consecuencias negativas causadas por un 
impacto son: 


. ¿Existen condiciones de incumplimiento de confidencialidad (interna y externa)? Esto normalmente 
es el caso cuando personas no-autorizadas tienen acceso a información y conocimiento ajeno que pondrá en 
peligro nuestra misión. 


o ¿Existen condiciones de incumplimiento de obligación jurídicas, contratos y convenios? No cumplir 
con las normas legales fácilmente puede culminar en sanciones penales o económicas, que perjudican nues- 
tra misión, existencia laboral y personal. 


. ¿Cuál es el costo de recuperación? No solo hay que considerar los recursos económicos, tiempo, ma- 
teriales, sino también el posible daño de la imagen pública y emocional. 


¿Cómo valorar la Magnitud de Daño? 
Considerando todos los aspectos mencionados, 


nos permite clasificar la Magnitud del Daño. Sin : Tri pra les consecuencias de un impacto 
os Ñ ¿Quién sudrirá el daño? 
embargo, otra vez tenemos que definir primero el - Iincumpémiento de confidencialidad (inserna y extema) 
significado de cada nivel de daño (Baja, Mediana, IN, a 
> . celo de recuperación imagen, emocional 
Alta). Las definiciones mostradas en la imagen an- recursos: fiempo, económico] 
terior solo son un ejemplo aproximado, pero no ne- - Valoración de magnitud de daño 
cesariamente refleja la realidad y la opinión común - Bajo: Daño aislado, no perjudica ningún componentes de 
> . ] o CAQARILZACHA 

y por tanto se recomienda que cada institución de- Mediano: Provoca la desariculación de un componente de 

organización, A largo pazo puede provocar desarbeculación 


fina sus propios niveles. de arganización 


Año: En coro plazo desmovilza o desaricula a la 
Drgarnifa aba 








Pentesting 


El “Pentesting” o “test de penetración” consiste en atacar un sistema informático para identificar fallos, vul- 
nerabilidades y demas errores de seguridad existentes, para así poder prevenir los ataques externos. 

Todas las empresas se enfrentan a riesgos, cada vez mas frecuentes, que pueden afectar a su sistema. Ser 
conscientes de estos riesgos es fundamental, pero no todas las empresas lo son. 


Existen herramientas para comprender la gravedad de los peligros a los que una organización se enfrenta en 
el día a día. Esto les permite detectar las brechas de seguridad existentes en su compañía y así estar preveni- 
dos ante los riesgos que pueden surgir. 


A causa de los importantes ataques y filtraciones sufri- 
dos por varias empresas en los últimos años, el Pentes- 
ting es algo reciente pero que esta en auge. Por ello, no 
hay apenas certificaciones oficiales que acrediten como 
“Pentester” o Expertos en Seguridad Informática. Sin 
embargo, al ser tan escasas las certificaciones existentes 
en este campo, hace que estas se revaloricen en los pues- 
tos de trabajo. 





A causa de los importantes ataques y filtraciones sufridos por varias empresas en los últimos años, el Pen- 
testing es algo reciente pero que está en auge. Por ello, no hay apenas certificaciones oficiales que acrediten 
como “Pentester” o Expertos en Seguridad Informática. Sin embargo, al ser tan escasas las certificaciones 
existentes en este campo, hace que estas se revaloricen en los puestos de trabajo. 


El Pentesting realmente es una forma de hacking, solo que esta práctica es totalmente legal, ya que cuenta 
con el consentimiento de los propietarios de los equipos que se van a testear, además de tener la intención 
de causar un daño real. 


Estos test están diseñados para clasificar y determinar el alcance y la repercusión de los fallos de seguridad. 
Gracias a estos test, se obtiene conocimiento y consciencia del peligro que existe en el sistema testeado, de 
las defensas de las que dispone y de su eficiencia. 


Ademas, también proporciona datos de probabilidades de éxito de un ataque al sistema y otras vulnerabili- 
dades existentes en este que no se pueden hallar de otra forma. 


Tipos de Pentesting 


Según el tipo de información que se tenga sobre el sistema para su testeo, hay diferentes formas de realizar 
estas pruebas: 


. Pentesting de caja blanca: en este tipo de test sabemos todo a cerca del sistema, la aplicación o la 
arquitectura. Es el Pentest más completo. Este método parte de un análisis integral, que evalúa toda la in- 
fraestructura de red. Al disponer de un volumen tan alto de información, suele realizarse por miembros del 
propio equipo de Tl de la empresa. 


. Pentesting de caja negra: en este, sin embargo, no disponemos de ningún tipo de información sobre 
el objetivo. Es casi como una prueba a ciegas y el más cercano a seguir las características de un ataque exter- 
no. Su actuación es la mas similar a la de los cibercriminales. 


. Pentesting de caja gris: este sería una mezcla entre los dos anteriores, es decir, se posee ya cierta in- 
formación, pero no la suficiente, por lo que se invertirá tiempo y recursos para identificar las vulnerabilidades 
y amenazas en base a la cantidad de información que se tenga. Es el pentest más recomendado. 


du A 
Se deben tener en cuenta estos tipos de Pentesting ya que, muchas veces, las condiciones del test irán de- 
terminadas en base a lo que establece el cliente. 





Fases o métodos de Pentesting 


Una vez se ha determinado el tipo de prueba a realizar, el siguiente paso es elegir el método. Esta elección 
se basa en las necesidades existentes y en función de las características del sistema, o de los requerimientos 
de la empresa. 


Estos son algunos de los métodos de Pentesting: 


. ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de 
los criterios de evaluación, escritos y revisados por expertos. 
. PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las 


compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que 
procesan, almacenan y transmiten datos de los titulares de las tarjetas. 

. PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales 
altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al 
Pentesting. 

. OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad): sus pruebas no son espe- 
cialmente innovadoras, pero es uno de los primeros acercamientos a una estructura global de concepto de 
seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y 
eficiente. 


Estos métodos son extensos y densos de tratar, pero conocerlos en profundidad es una necesidad a la hora 
de aplicarlos. 








A 
Hackers 


Un hacker puede tener distintos objetivos: robar datos, solo curiosear, hacer daño (por ejemplo borrando 
datos), enriquecerse, chantajear, demostrar su capacidad o simplemente hacerse el gracioso. Los hackers 
muchas veces dan muestra de un gran (y peculiar) sentido del humor. Los hackeos muchas veces parecen 
“de chiste”. Los hackers se basan en herramientas conocidas y de fácil acceso (una muy usada es SQL-injec- 
tion) en unos casos, y en complejos programas o algoritmos desarrollados tras mucho esfuerzo en otros. 
Algunos hackers son inofensivos y otros están en el mundo de la delincuencia. Aquí cabe clasificar a los de- 
sarrolladores de troyanos bancarios. Un troyano bancario es un programita que nos entra sin darnos cuenta 
a través de internet. Este programita va a estar pendiente para cuando realicemos una operación con una 
tarjeta bancaria o accedamos a nuestra cuenta bancaria vía internet, capturar los datos y enviarselos a los 
amigos de lo ajeno. 


A nivel de usuario la mejor defensa o forma de tener seguridad es disponer de un buen antivirus, las copias 
de seguridad y no realizar descargas ni instalaciones indiscriminadas. 


Un experto en seguridad informática puede ser consultado sobre si un sistema o una web pueden ser tan se- 
guras como para llegar a ser no hackeables. La respuesta es que no se puede garantizar la seguridad absoluta 
de ningún sistema. Seguidamente podemos preguntar: ¿Debemos ser entonces pesimistas respecto a las 
posibilidades de segurizar los sistemas, redes, webs, etc.? La respuesta técnica vamos a omitirla; la respuesta 
en clave de humor sería la siguiente: “Hombre, no te desanimes. Esto es como ligar, aunque no se consiga, 
hay que seguir intentándolo.” 


Si nos ponemos a escala, podemos pensar en una persona como usuaria de un ordenador, en una pequeña, 
mediana o gran empresa y en multinacionales. Las multinacionales dedican muchos esfuerzos a la seguridad, 
Aun así, la seguridad sigue siendo una utopía. Oracle es una multinacional que gestiona las bases de datos 
quizas más seguras del planeta. A día de hoy la última versión de la base de datos Oracle tiene contabilizados 
mas de 150 fallos de seguridad. 


LOS ATAQUES DE LOS HACKERS: ALGUNOS CASOS MÍTICOS 


Debían GNU/Linux es una distribución libre del sistema 
operativo GNU/Linux. Es mantenida y actualizada gracias 
al trabajo de muchos usuarios expertos en informática que 
trabajan con algunos servidores principales. Hace un par de 
años el servidor principal de Debían fue atacado y “tumbado” 
(puesto fuera de servicio) por uno o varios hackers. Después 
del estudio correspondiente, se concluyó que el problema 
había estado en que el servidor estaba funcionando con un 
sistema Linux que no tenía mantenimiento, o al menos que 
no tenía el mantenimiento adecuado. 





Los administradores del servidor “no se percataron” de que habían salido distintas actualizaciones de seguri- 
dad hacía algunos meses y por supuesto no las habían instaurado sobre su sistema. Resultado: vulnerabilidad 
aprovechada por los amigos de la debilidad. 


A la web del Ministerio de la Vivienda español, concebido con el loable propósito de fomentar el acceso de 


todos los españoles a la vivienda, tuvo acceso un hacker que dejó el siguiente mensaje como respuesta a los 
usuarios que trataban de acceder a la pagina web del ministerio: “No vas a tener casa en tu puta vida”. 





¿Tendría razón? Bueno, eso es cuestión aparte. En lo que a seguridad informática respecta, el fallo se demos- 
tró que había sido tener accesibles al público los directorios de administración de la pagina web. 


Ataques de hackers han sufrido muchísimas comunidades e instituciones. Microsoft mismo ha sufrido ata- 
ques de hackers con éxito en algunos de sus sitios, siendo esto posible en general debido a fallos de manteni- 
miento. También han sufrido ataques de hackers famosos comunidades de Ubuntu (una distribución Linux), 
Oracle (multinacional americana) y cómo no, los famosos sistemas de correo electrónico universal Hotmail 
y Gmail entre otros. 


Muchos ataques son evitables. Para empezar, es conveniente realizar testing y auditorías de seguridad de los 
sistemas informáticos y paginas web para detectar sus vulnerabilidades. En la práctica, son pocas empresas 
quienes mantienen estas prácticas. 


¿SON HACKEADOS LOS HACKERS? 


Zone-h.org es una web digamos que de hackers. Esta misma web ha sido también hackeada, lo que demues- 
tra que no hay nadie libre de sufrir un ataque, ni siquiera los mismos atacantes. 


LA SEGURIDAD DE LAS REDES SOCIALES 


Otra pregunta podría ser: ¿Son seguras las redes sociales 
como Facebook o Tuenti? La respuesta en clave de humor 
sería la siguiente: “Vamos hombre, las redes sociales son un 
gran invento, ahora la cosa está más fácil para, digáamoslo 
así, intimar cariñosamente con personas del sexo opuesto. 
¡Si nuestros abuelos hubieran tenido estas herramientas!” Ya 
más seriamente, el problema no es que existan las redes so- 
ciales, sino que la gente se conciencie que lo que escribe ahi 
es algo que tiene visibilidad para otras personas, es público. 





¿Público? ¿No estamos protegidos? Obviamente no. ¿Quién tiene los datos? ¿Quién tiene un conocimiento 
profundo sobre las opciones de configuración de las redes sociales y el funcionamiento de sus bases de da- 
tos? Pues digamos que nadie, lo cual hace muy difícil decir que los datos almacenados en esas páginas sean 
seguros. 


De la relevancia de las redes sociales y de su accesibilidad para conocer qué hacen y piensan las personas da 
idea el hecho de que muchas empresas de recursos humanos, antes de decidir la entrevista o contratación 
de una persona, realizan rastreos exhaustivos en la red en busca de información sobre ella. 


La Tabla inferior se define algunos atacantes y a lo que se dedican: 





Nombre de los 
atacantes 


Hackers 


Crackers 


Lammers 


Ciberterrorista 


Programadores 


de virus 


War driver 


Defacer 


Spammer y 


diseminadores 


Definición 


Expertos informáticos con una gran curiosidad por descubrir 
las vulnerabilidades de los sistemas pero sin motivación 
económica o dañina. 

Un hacker que, cuando rompe la seguridad de un sistema, lo 
hace con Intención maliciosa, bien para dañarlo o para obtener 
un beneficio económico. 

Crackers telefónicos, que sabotean las redes de telefonía para 
conseguir llamadas gratuitas. 

Expertos en redes que analizan el tráfico para obtener 
información extrayendola de los paquetes que se transmiten 
por la red. 

Chicos jóvenes sin grandes conocimientos de informática pero 
que se consideran a sí mismos hackers y se vanaglorian de 
ello. 

Expertos en informática e intrusiones en la red que trabajan 
para paises y organizaciones como esplas y saboteadores 
informáticos. 

Expertos en programación, redes y sistemas que crean 
programas dañinos que producen efectos no deseados en los 
sistemas o aplicaciones. 

Personas que se dedican al ataque de los sistemas de tarjetas, 
como los cajeros automáticos. 

Hacker novato. 

son crackers que saben aprovechar las vulnerabilidades de 
todo tipo de redes de conexión móvil. 

Buscan bugs de páginas web en internet para poder infiltrarse 
en ellas y asi modificarlas. 

Hay empresas que les pagan por la creación de spams de sus 


principales productos y en otros casos también lucran con 





de Spywares publicidad ilegal. 


Script-kiddie son internautas que se limitan a recopilar información, 
herramientas de hacking gratuitos y otros programas para 
probar sus efectos en posibles victimas. Más de alguna vez 
terminan comprometiendo sus propios equipos. 

Es el que conoce a fondo como actua cada sistema por 


complejo que sea. Un hacker usa técnicas avanzadas, pero el 


wizard entiende cómo o por qué funcionan. 
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Datos Generales 





La Unidad de Aprendizaje de Seguridad en informática | pertenece al área curricular de Formación para el 
Trabajo, dentro del Campo Profesional de Seguridad y redes campo al que pertenece mi programa, impartida 
en la modalidad presencial/escolarizada, correspondiente al cuarto semestre del período académico de ene- 
ro — junio. Con un total de 48 horas en el aula, 12 extra aula y con un valor curricular de 2 créditos. 


Esta U.A. te capacita para que identifiques y comprendas los riesgos de los ataques informáticos que existen 
en la actualidad, con el objetivo de preservar la integridad de la información con las normativas y regulacio- 
nes de los diferentes tipos de seguridad para una mejor protección de los datos de los diferentes sistemas. 


La utilidad de la competencia profesional de esta Unidad de Aprendizaje contribuye con el perfil de egreso 
de los Bachilleratos Técnicos de la UANL, en las áreas de Seguridad y Redes, en el aspecto de la seguridad, 
minimizando el riesgo de ataques en cualquier tipo de los niveles de los sistemas en el sector laboral. 








Fundamentación 


El propósito formativo de esta Unidad de Aprendizaje de Seguridad en informática l, es diseña la seguridad de 
un sistema para satisfacer las necesidades de una organización y almacenamiento de la información, trans- 
formandolos en información que ayude al usuario a la toma de decisiones a través de la creación de estruc- 
turas confiables que permitan la explotación y manipulación de datos de una manera segura. 


En el Modelo Educativo de la UANL, se describe la filosofía educativa, desprendiéndose los modelos académi- 
cos del nivel medio superior, superior y posgrado que describen el funcionamiento de cada nivel. Cada Mo- 
delo Académico te orienta en cuanto a la planeación, operación y evaluación de los programas educativos. 
Es muy importante que identifiques los Ejes rectores del Modelo Educativo de la UANL: 


Estructuradores: 
. Educación centrada en el aprendizaje. Implica una transformación del rol del docente y el tuyo como 
estudiante, en los Programas educativos del Nivel Medio Superior y en las Estrategias de Interacción. 
. Educación basada en competencias. Reelaborando los Programas sintéticos y analíticos y se identi- 


fican los tipos de competencias, determinando el desarrollo de los elementos y niveles de la competencia, 
ademas de la metodología y las estrategias de evaluación determinando la construcción de las competencias 
y la evaluación de las evidencias de desempeño. 


Operativo: 
. Flexibilidad curricular y de los procesos. Esta flexibilidad se da en las trayectorias escolares diferen- 
ciadas, en las Unidades de Aprendizaje del área de Libre Elección y en el sistema de créditos para el avance 
semestral. 

Transversales: 
. Internacionalización. Determinada por los textos y materiales multimedia de nivel internacional, pro- 


gramas educativos pertinentes y de vanguardia; internacional, bilingue y bilingue progresivo, fortaleciendo 
el aprendizaje del inglés y otros idiomas, con la participación de eventos y redes de intercambio académico y 
de colaboración. 

. Innovación académica. Se desarrolla con la reestructuración de textos y materiales didácticos, con el 
trabajo colegiado y colaborativo, la interacción académica, el sistema de créditos UANL y la evaluación del 
proceso. 

. Responsabilidad social. Fortalece el compromiso de la institución con los intereses generales de la 
sociedad, a través de estrategias que responden a las necesidades del entorno de manera responsable, opor- 
tuna y efectiva y con un fuerte sentido ético. 


La Reforma Integral de Educación Media Superior (RIEMS) es impulsada por la Secretaría de Educación Pú- 
blica (SEP), el Consejo Nacional de Autoridades Educativas (CONAEDU) y la Asociación Nacional de Uni- 
versidades e Instituciones de Educación Superior (ANUIES). Esta Reforma tiene el objetivo de mejorar la 
calidad, la pertinencia, la equidad y la cobertura del bachillerato, que demanda la sociedad nacional, y plantea 
la creación del Sistema Nacional de Bachillerato en un marco de diversidad en el cual se integran las diversas 
opciones de bachillerato a partir de competencias genéricas, disciplinares y profesionales. 


La RIEMS se desarrolla en torno a cuatro ejes: la construcción de un Marco Curricular Común (MCC) con 
base en competencias, la definición de las distintas modalidades de oferta de la EMS, la instrumentación de 
mecanismos de gestión que permitan el adecuado tránsito de la propuesta, y un modelo de certificación de 
los egresados del Sistema Nacional de Bachillerato. 


La RIEMS establece acuerdos secretariales desde la SEP, entre los cuales destacan: 


e 442 Donde se establece el Marco Curricular Común. 
. 444 Donde se establecen las Competencias Genéricas, Disciplinares y Profesionales. 
. 447 Donde se establecen las Competencias Docentes. 





e Esta Unidad de Aprendizaje es perteneciente al Bachillerato Técnico en Sistemas Computacionales lo- 
calizada en el cuarto semestre de la carrera y considerando que en el mundo actual la informática así 
como la programación y desarrollo de aplicaciones centradas en el manejo de los datos han adquirido una 
importancia de primer orden para cualquier empresa o profesional, de modo que no vale de nada saber 
programar en cualquier lenguaje si no se entiende a la perfección el funcionamiento básico de cualquier 
seguridad en los sistemas y como los datos están organizados en ellas para ser llamados desde diversas 
aplicaciones en cualquier entorno operativo. De lo anterior se desprende que el manejo de la seguridad 
de los sistemas relacionales es indispensable en cualquier lenguaje de programación orientado al manejo 
de datos y por consiguiente en cualquier aplicación informática que pretenda la administración de lo 
mismo, más aún cuando el mayor valor de las empresas en la actualidad radica en el tratamiento de sus 
productos, clientes, proveedores, agentes, etcétera, no sería comprensible el más sencillo programa de 
seguridad por tanto es un aspecto fundamental del aprendizaje de cualquiera que pretenda dedicarse a 
la seguridad y confidencialidad de la información. 








Relación del Perfil de Egreso de la UANL en el contexto nacional 


Competencias que 
conforman el perfil de 
egreso de la EMS-UANL, 
Modelo Educativo 


Competencias Generales 


3.- Maneja las Tecnologías 
de la Información y la 
Comunicación como 
herramienta para el acceso 
a la información y su 
transformación en 
conocimiento, asi como 
para el aprendizaje y 
trabajo colaborativo con 
técnicas de vanguardia que 
le permitan su 
participación constructiva 
en la sociedad. 


4.- Domina su lengua 
materna en forma oral y 
escrita con corrección, 
relevancia, oportunidad y 
ética adaptando su 
menzaje a la situación o 
contexto, para la 
transmisión de ideas y 
hallazgos científicos. 


6.- Utiliza un segundo 


idioma, preferentemente el 


inglés, con claridad y 
corrección para 
comunicarse en contextos 
cotidianos, académicos, 
profesiomales y científicos 


£.- Utiliza los métodos y 
técnicas de investigación 
tradicionales y de 
vanguardia para el 
desarrollo de su trabajo 
académico, el ejercicio de 
su profesión y la 
seneración de 


Perfil de egreso del estudiante al 
término de la educación media 
superior, Modelo Educativo SEP 


ál término de la 
Educación 
Media Superior 


58 expresa con 
claridad en 
español, de 
forma oral y 
escrita. 


Lenguaje y 
Comunicación 


Adentifica las 
ideas clave en un 
texto o discurso 
oral e infiere 


conclusiones a 
partir de ellas 


58 comunica en 
inglés con fluidez 
y naturalidad 


Pensamiento Construye e 
interpreta 
situaciones 
reales, 
hipotéticas o 
formales que 
requieren de la 
utilización del 


Matemático 


Competencias que conforman el perfil de egreso en la EMS 
de acuerdo al Marco Curricular Común, 


4. Escucha, 
interpreta y 
emite mensajes 
pertinentes en 
distintos 
contextos 
mediante la 
utilización de 
medios, códigos 
yv herramientas 
apropiadas 


5. Desarrolla 
innowaciones y 
propone 
soluciones a 
problemas a 
partir de 
métodos 





Acuerdo Secretarial 444 


Competencias Disciplinares Básicas 


C1. identifica, ordena e interpreta las 
ideas, datos y conceptos explícitos e 
implícitos en un texto, considerando el 
contexto en el que se generó y en el que 
se recibe. 


C2, Evalúa un texto mediante la 
comparación de su contenido con el de 
otros, en función de sus conocimientos 
previos y Nuevos. 


23, Plantea supuestos sobre loz 
fenómenos naturales y culturales de su 
entorno con base en la consulta de 
diversas fuentez. 


C 4. Produce textos con base en el uso 
normativo de la lengua, considerando la 
intención y situación comunicativa. 


5. Expresa ideas y conceptos en 
composiciones coherentes y creativas, 
con introducciones, desarrollo y 
conclusiones claras. 


C6. Argumenta un punto de vista en 
público de manera precisa, coherente y 
creativa. 


(8. Valora el pensamiento lógico en el 
proceso comunicativo en su vida 
cotidiana y académica. 


CS, Analiza y compara el origen, 
desarrollo y diversidad de los sistemas y 
medios de comunicación. 


10. Identifica e interpreta la idea 
seneral y posible desarrollo de un 
mensaje oral o escrito en una segunda 
lengua, recurriendo a conocimientos 
previos, elementos no verbales y 
contexto cultural. 


11. Se comunica en una lengua 
extranjera mediante un discurso lógico, 
oral o escrito, congruente con la situación 
comunicativa. 


M 1. Construye e interereta modelos 
matemáticos mediante la aplicación de 
procedimientos aritméticos, algebraicos, 
seomeétricos y varlaciomales, para la 
comprensión y análisis de situaciones 
reales, hipotéticas o formales 


M2. Formula y resuelve problemas 


conocimientos. 


14.- Resuelve conflictos 
personales y sociales 
conforme a técnicas 
especificas en el ámbito 
académico y de su 
profesión para la adecuada 
toma de decisiones 


Exploración y 
comprensión del 
mundo laboral y 
social 


establecidas 


pensamiento 


matemático 


-Formula y 
resuelve 
problemas 
aplicando 
diferentes 
enfoques 


-Argumenta la 
solución 
obtenida de un 
problema con 
métodos 
numéricos, 
aráficos o 
analíticos 


Obtiene, 
registra y 


7. Aprende por 
iniciativa e 
sisbtematiza interés propio a 
información, lo largo de la 
consultando vida 

fuentes 

relevanbes, y 

realiza los 

análisis e 

investigaciones 

pertinentes 


Comprende la 
interrelación de 
la ciencia, la 
tecnología, la 
sociedad y el 
medio ambiente 
en contextos 
históricos y 
sociales 
especificos 


Identifica 
problemas 
formula 
preguntas de 
carácter 
científico y 
plantea las 
hipótesis 
necesarias para 





responderlas 


matemáticos, aplicando diferentes 
enfoques. 


M 3. Explica e interpreta los resultados 
obtenidos mediante procedimientos 
matemáticos y los contrasta can modelos 
establecidos o situaciones reales. 


Md. Árgumenta la solución obtenida de 
un problema, con métodos numéricos, 
aráficos, analíticos o variacionales, 
mediante el lenguaje verbal, matemático 
yeluso de las tecnologías de la 
información y la comunicación. 


M 5. Analiza las relaciones entre dos y 
más variables de un proceso social o 
natural para determinar o estirar su 
comportamiento. 


M 6. Cuantifica, representa y combrasta 
experimental o matemáticamente las 
magnitudes del espacio y las propiedades 
fisicas de los objetos que lo rodean. 


M 7. Elige un enfoque determinista o uno 
aleatorio para el estudio de un proceso o 
fenómeno, y argumenta su pertinencia. 


M 8. Interpreta tablas, gráficas, mapas, 
diagramas y textos con simbolos 
matemáticos y científicos. 


ES 1. Identifica el conocimiento social y 
humanista como una construcción en 
constante transformación. 


CS 2. Sitúa hechos históricos 
fundamentales que han tenido lugar en 
distintas épocas en México y el mundo 
con relación al presente. 


CS 3. Interpreta su realidad social a partir 
de los procesos históricos locales, 
nacionales e internacionales que la han 
configurado. 


CS 4. Valora las diferencias sociales, 
políticas, económicas, étnicas, culturales 
yae sénero y las desigualdades que 
inducen. 


CS 5. Establece la relación entre las 
dimensiones políticas, económicas, 
culturales y geográficas de un 
acontecimiente. 


CS 6. Analiza con visión emprendedora 
los factores y elementos fundamentales 
que intervienen en la productividad y 
competitividad de una organización y su 
relación con el entorno socioeconómico. 


CS 7. Evalúa las funciones de las leyes y su 
transformación en el tiempo. 


Cs 8. Compara las características 
democráticas y autoritarias de diversos 





y + 


3.- Maneja las Tecnologías 
de la Información y la 
Comunicación como 
herramienta para el acceso 
a la información y su 
transformación en 
conocimiento, asi como 
para el aprendizaje y 
trabajo colaborativo con 
técnicas de vanguardia que 
le permitan su 
participación constructiva 
en la sociedad. 


4.- Domina su lengua 
materna en forma oral y 
escrita con corrección, 
relevancia, oportunidad y 
ética adaptando su 
mensaje a la situación u 
contexto, para la 
transmisión de ideas y 
hallazgos científicos. 


6.- Utiliza un segundo 
idioma, preferentemente el 
inglés, con claridad y 
corrección para 
comunicarse en contextos 
cotidianos, académicos, 
profesionales y científicos 


Uitiliza los métodos y 
técnicas de investigación 
tradicionales y de 
vanguardia para el 
desarrollo de su trabajo 
académico, el ejercicio de 
su profesión y la 
seneración de 
conocimientos. 


5.- Emplea pensamiento 
lógico, crítico, creatiwo y 
propositiwvo para analizar 
fenómenos naturales y 
sociales que le permitan 
tomar decisiones 
pertinentes en su ámbito 
de influencia con 
responsabilidad social 


1.- Aplica estrategias de 
aprendizaje autónomo en 
los diferentes miveles y 
campos del conocimiento 
que le permitan la toma de 
decisiones oportunas y 


Pensamiento 
crítico y solución 
de problemaz 


Habilidades 


socioemocionales 


y proyecto de 
vida 


Utiliza el 
pensamiento 
lógico y 
matemático así 
como los 
métodos de las 
ciencias para 
amalizar y 
cuestionar 
criticamente 
tenómenos 
diversos 


-Desarrolla 
argumentos, 
evalúa objetivos, 
resuelve 
problemas, 
elabora y 
justifica 
conclusiones y 
desarrolla 
innowaciones 


-5e adapta a 
entornos 
cambiantes 


-Ez 
autoconsciente y 
determinado, 
cultiva 
relaciones 
interpersonales 


4d. Escucha, 
interpreta y 
emite mensajes 
pertinentes en 
distintos 
contextos 
mediante la 
utilización de 
medios, códigos 
y herramientas 
apropiados 


5. Desarrolla 
infowaciones y 
propone 
soluciones a 
problemas a 
partir de 
métodos 
establecidos 


6-Sustenta una 
postura persomal 
sobre temas de 
interés y 
relevancia 
seneral, 
considerando 
otros puntos de 
wista de manera 
crítica y reflexiva 


1.58 conoce y 
walora a si 
mismo y aborda 
problernas y 
retos teniendo 
en cuenta los 


sistemas sociopolíticos. 


CS 4, Analiza las funciones de las 
instituciones del Estado Mexicano y la 
manera en que impactan su vida. 


CE 1. Establece la interrelación entre la 
ciencia, la tecnología, la sociedad y el 
ambiente en contextos históricos y 
sociales específicos. 


CE 3. Identifica problemas, formula 
preguntas de carácter cientifico y plantea 
las hipótesis necesarias para 
responderlas. 


CE 4. Obtiene, registra y sistematiza la 
información para responder a preguntas 
de carácter cientifico, consultando 
fuentes relevantes y realizando 
experimentos pertinentes. 


CE 5. Contrasta los resultados obtenidos 
en una investigación o experimento con 
hipótesis previas y comunica sus 
conclusiones. 


CE 6. Valora las preconcepciones 
personales o comunes sobre diversos 
fenómenos naturales a partir de 
evidencias científicas 


CE 7. Hace explícitas las nociones 
científicas que sustentan los procesos 
para la solución de problemas cotidianoz. 


CE 8. Explica el funcionamiento de 
máquinas de uso común a partir de 
nociones científicas. 


CE 9. Diseña modelos o prototipos para 
resolwer problemas, satisfacer 
necesidades o demostrar principios 
científicos. 


CE 10. Relaciona las expresiones 
simbólicas de un fenómeno de la 
naturaleza y los rasgos observables a 
simple vista o mediante instrumentos o 
modelos científicos. 


CE 13. Relaciona los niveles de 
organización química, biológica, física y 
ecológica de los sistemas wiwos. 


CE 14. Aplica normas de seguridad en el 
manejo de sustancias, instrumentos y 
equipo en la realización de actividades de 
su vida cotidiana. 


H SEvalúa la solidez de la evidencia para 
llegar a una conclusión argumentativa a 
trawés del diálogo 





H 13, Analiza y resuelve de manera 
reflexiva problemas éticos relacionados 
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dé Asume responsaslermente la relsción 
[ee Dir cd a, cn der cd y 
con alancarno nan tal rodoo url 
mostrando ura >= ELd de Mea 1o Y 
tolerancia 





ML Aneliza y esalús aimoortanoa de a 
her oiMa rn a E na di rr a y 


colectiva 


Hi? aa derira les rara mirala rs lr 


cómL»s d30 


HA Fiamninna pajar de mA A 
erica rota, dario orobla mias 
leióficos ula md Cn la COLS COn 
Amina, pocho anco ud nar, 


hlsertad y ir ai 


HA Detlingue aimportanoa de la cinc a 
F ls secnología y a irescendenda +7 el 
dese rrollo de se comunided cor 
tuntamantos filocól cs; 


115, Corzimva evalós y mejora A rcirmbos 
Misal jedi a did 
cocd ana de cuca con e princ pos 
Kricos 


Há. idencilca jos supuso, de lo: 


integración en el contexto 
local, naciomal E 
internacional com la 
finalidad de — promower 
ambientes de conwiwencia 
pacífica. 


11.- Practica los valores 
promovidos por la UANL: 
verdad, equidad, 
honestidad, libertad, 
solidaridad, respeto a la 
vida y a los demás, respeto 
a la maturaleza, integridad, 
ética profesional, justicia y 
responsabilidad, en su 
ámbito personal y 
profesional para contribuir 
a construir una sociedad 
sostenible. 


2.- Utiliza los lenguajes 
lógico, formal, matemático, 
icónico, verbal y no verbal 
de acuerdo a su etapa de 
vida, para comprender, 
interpretar y expresar 
ideas, sentimientos, teorias 
y corrientes de 
pensamiento con un 
enfoque ecuménico 


15.- Logra la adaptabilidad 
que requieren los 
ambientes sociales y 
profesionales de 
incertidumbre de nuestra 
época para crear mejores 
condiciones de vida 


10.- Interviene frente a los 


Apreciación y 
expresión 
artisticas 


Atención al 
cuerpo y la salud 


Estado de 
Derecho 


Valora y 
experimenta las 
artes porque le 
permiten 
comunicarse y le 
aportan un 
sentido a su vida 


Comprende su 
contribución al 
desarrollo 
integral de las 
personas 


-Aprecia la 
diversidad de las 
expresiones 
culturales 


-Asume el 
compromiso de 
mantener su 
cuerpo amo, 
tanto en lo que 
toca a su salud 
fisica como 
mental 


-Evita conductas 
y prácticas de 
riesgo para 
favorecer un 
estilo de vida 
activa y 
saludable 


¿.Es sensible al 
arte y participa 
en la apreciación 
e interpretación 
de sus 
expresiones en 
distintos géneros 


3.Elige y practica 
estilos de vida 
saludables 





Cuidado del Comprende la 11. Contribuye al 


argumentos con los que se trata de 
convencer y analiza la confiabilidad de las 
fuentes de una manera crítica y 
justificada 


27, Valora y describe el papel del arte, la 
literatura y los medios de comunicación 
en la recreación o la transformación de 
una cultura, teniendo en cuenta los 
propósitos comunicativos de distintos 
péneros. 


H 10. Asume una posición personal 
(critica, respetuosa y digna) y objetiva, 
basada en la razón (lógica y 
epistemológica),en la ética y en los 
valores frente a las diversas 
manifestaciones del arte 


H 11. Analiza de manera reflexiva y crítica 
las manifestaciones artísticas a partir de 
consideraciones históricas y filosóficas 
para reconocerlas como parte del 


patrimonio cultural 


H 12. Desarrolla su potencial artístico, 
como una manifestación de su 
personalidad y arraigo de la identidad, 
considerando elementos objetivos de 
apreciación estética 


CE 12. Decide sobre el cuidado de su 
salud a partir del conocimiento de su 
cuerpo, sus procesos vitales 


vel entorno al que pertenece 


H6. Defiende con razones coherentes sus 


retos de la sociedad 
contemporánea en lo local 
y global con actitud crítica y 
compromiso humano, 
académico y profesional 
para contribuir a consolidar 
el bienestar peneral y el 
desarrollo sustentable. 


medio ambiente 


Habilidades 
digitales 


3.- Maneja las Tecnologías 
de la Información y la 
Comunicación como 
herramienta para el acceso 
a la información y su 
transformación en 
conocimiento, así como 
para el aprendizaje y 
trabajo colaborativo con 
técnicas de vanguardia que 
le permitan su 
participación constructiva 
en la sociedad. 


4.- Domina su lengua 
materna en forma oral y 
escrita con corrección, 
relevancia, oportunidad y 
ética adaptando su 
mensaje a la situación o 
contexto, para la 
transmisión de ideas y 
hallazgos científicos. 


6.- Utiliza un segundo 
idioma, preferentemente el 
inglés, con claridad y 
corrección para 
comunicarse en contextos 
cotidianos, académicos, 
profesionales y científicas 


importancia de 
la 


sustentabilidad y 


asume una 
actitud proactiva 
para encontrar 
soluciones 


-Piensa 
globalmente y 
actúa 
localmente 


Valora el 
impacto social y 
ambiental de las 
innovaciones y 
avances 
científicos 


Utiliza 
adecuadamente 
las Tecnologías 
de la 
Información y la 
Comunicación, 
para investigar, 
resolwer 
problemas, 
producir 
materiales y 
expresar ideas 


-Aprovecha estas 


tecnologías para 
desarrollar ideas 
elinnovaciones 


desarrollo 
sustentable de 
manera critica, 
con acciones 
responsables 


4. Escucha, 
interpreta y 
emite mensajes 
pertinentes en 
distintos 
contextos 
mediante la 
utilización de 
medios, códigos 
y herramientas 
apropiados 


juicios sobre aspectos de su entorno 


Cs 10, Valora distintas prácticas sociales 
mediante el reconocimiento de sus 
significados dentro de un sistema 
cultural, con una actitud de respeto 


CE 2. Fundamenta opiniones sobre los 
impactos de la ciencia y la tecnología en 
su vida cotidiana, asumiendo 
consideraciones éticas. 


CE 11. Analiza las leyes generales que 
rigen el funcionamiento del medio físico y 
valora las acciones humanas de impacto 
ambiental 


C 12, Utiliza las tecnologías de la 
información y comunicación para 
investigar, resolver problemas, producir 
materiales y transmitir información 


M4, Argumenta la solución obtenida de 
un problema, con métodos numéricos, 
gráficos, analíticos o variacionales, 
mediante el lenguaje verbal, matemático 
vel uso de las tecnologías de la 
información y la comunicación. 








Formación para el trabajo 


Campo Profesiomal Competencia Profesional Atributo Enlace 


1. Programación 


2. Diseño y Desarrollo Web 


3, Habilidades y Estrategias 


4. Seguridad y Redes 


*Formación Técnica Integral. 


CP 1. Aprende estructuras y lenguajes de 
programación considerando las diferentes 
etapas del desarrollo de software, durante el 
análisis de problemas cotidianos con el 
propósito de desarrollar soluciones competitivas 
para la pestión de sistemas de información en el 
ambito público y privado 


CP 2. Produce diseños originales y desarrolla 
páginas web aplicando sus conocimientos y 
habilidades en el uso y aplicación de diferentes 
lenguajes de programación y herramientas de 
edición visual, para lograr una comunicación 
efectiva en la organizaciones 


CP 3, Desarrolla las habilidades y estrategias 
necesarias para su desenvolvimiento en las 
actividades propias de su formación técnica, que 
le permitan expresar ideas, resolwer problemas, 
innowar y comunicarse asertivamente dentro de 
una organización. 


CP 6. implementa la seguridad en las tecnologías 
de información, considerando la configuración y 
administración de las redes de cómputo y sus 
usuarios, para identificar las medidas de 
protección más adecuadas y evitar posibles 
ataques a la infraestructura informática. 


CPT. Distingue los principios administrativos de 
los procesos laborales para desarrollar sus 
actividades profesionales con calidad, de 
manera segura e innovadora con un amplio 
respeto por la vida y el medio ambiente. 


AE 1, Desarrolla soluciones a problemas 
cotidianos proponiendo aplicaciones en 
diferentes lenguajes de programación y 
gestores de base de datos, realizando los 
estudios pertinentes que engloba las etapas 
del desarrollo de software 


AE 2. Desarrolla soluciones Web a través 
del uso de lenguajes y herramientas 
especializadas, considerando las 
propiedades de los documentos y objetos 
necesarios para Crear, Organizar y 
administrar un sitio web dinámico 


AE 3, Utiliza recursos tecnológicos para la 
comunicación efectiva y toma de decisiones. 


AE 4. Diseña e implementa redes de 
telecomunicación, considerando modelos, 
estándares, dispositivos, conexiones, 
sistemas y software especializado, para la 
administración eficiente de los recursos de 
la red identificando las diferentes amenazas 
a la seguridad en informática, considerando 
los tipos de seguridad y los elementos que 
deben ser protegidos, para implementar la 
estrategia más adecuada que permita evitar 
o solucionar un ataque a la seguridad 
informática 


AEFTL. Integra las normas de seguridad y de 
calidad, así como los elementos sociales y 
administrativos, mostrando una actitud 
innowadora y de responsabilidad social. 





"E Campo Profesional de Formación Técnica Integral es transversal en todos los Bachilleratos Técnicos que se ofertan en las áreas 
Industrial, de Servicios y de la Salud, complementando la visión f quehacer holístico de la Formación para el Trabajo. 





Taxonomía de Robert Marzano 


Esta Guía de Aprendizaje que utilizarás en el trascurso del semestre, se basa en el Modelo Taxonómico de 
Robert Marzano; este modelo te servirá para organizar tu conocimiento partiendo de lo más elemental a lo 
complejo. 


Para ello el modelo utiliza seis tipos de pensamiento llamados Dimensiones del Aprendizaje, las cuales per- 
miten apropiarte del conocimiento, desarrollar habilidades y actitudes de manera que logres aprendizajes 
significativos. 


Dimensión 1. Recuperación 
En esta dimensión realizarás actividades que te permitirán recordar y reconocer información e ideas que has 
adquirido a través de tu trayectoria escolar. 


Dimensión 2. Comprensión 

Aquí vas a entender e interpretar la información teniendo como base tus conocimientos previos, es decir, te 
ayudará a integrar el conocimiento nuevo con el que ya cuentas, además de organizarlo, interiorizarlo, de tal 
manera que forme parte de tu memoria de largo plazo. 


Dimensión 3. Análisis 

Para llegar a esta dimensión tendrás que efectuar actividades que te permitan comparar, clasificar y hacer 
inducciones y deducciones y aplicarlos a situaciones nuevas. De tal manera que lograrás hacer nuevas cone- 
xiones donde analices lo que has aprendido con mayor profundidad y mayor rigor. 


Dimensión 4. Aplicación 
Esta dimensión se cumple cuando eres capaz de utilizar el conocimiento para realizar tareas significativas, 
entre las cuales están la toma de decisiones, la investigación, y la solución de problemas. 


Dimensión 5. Metacognición 

Aquí desarrollarás hábitos que te permiten el autoaprendizaje en cualquier momento de tu vida. Algunos de 
estos habitos mentales son: ser claros y buscar claridad, ser de mente abierta, controlar la impulsividad y ser 
consciente de tu propio pensamiento. 


Dimensión 6. Auto-regulación 

Esta dimensión está compuesta de actitudes, creencias y sentimientos que determinan tu motivación para 
completar ciertas tareas específicas. Aquí desarrollarás competencias que te permitan valorar, evaluar o cri- 
ticar bajo estándares y criterios determinados. 








Competencias de la Unidad de Aprendizaje 


COMPETENCIAS GENERALES/ME 


5.- Utiliza los métodos y técnicas 
de investigación tradicionales y de 
vanguardia para el desarrollo de 
su trabajo académico, el ejercicio 
de su profesión y la generación de 
conocimientos. 


Elabora y diseña hipótesis 
tomando en cuenta los principios, 
leyes y conceptos. 


Competencia Profesional del Campo y Atributos 


| 
CAMPO PROFESIONAL 


4.- Seguridad y redes 


Diseña, analiza y explica proyectos 
aplicando creatividad e innovación en 
la resolución de problemas tomando 


COMPETENCIAS 
GENÉRICAS/RIEMS 


métodos establecidos. 


como base los principios, leyes y 


conceptos. 


COMPETENCIA PROFESIONAL 


cr15 

implementa la seguridad en 
las tecnologías de 
información, considerando la 
configuración y administración 
de las redes de cómputo y sus 
usuarios, para identificar las 
medidas de protección más 
adecuadas y evitar posibles 
ataques a la infraestructura 
informática. 


5. Desarrolla innovaciones y 
propone soluciones a partir de 


Escucha activa, 
empatía, 
pensamiento 
crítico, toma de 
perspectiva 


5.3 Identifica los sistemas y 
reglas o principios medulares que 


subyacen a Una serie de 


fenómenos. 





ATRIBUTO ENLACE 


AE15 

Diseña e implementa redes de 
telecomunicación, 
considerando 
estándares, dispositivos, 
conexiones, sistemas y 
software especializado, para 
la administración eficiente de 
los recursos de la red 
identificando las diferentes 
amenazas a la seguridad en 
informática, considerando los 
tipos de seguridad y los 
elementos que deben ser 
protegidos, para implementar 
la estrategia más adecuada 
que permita evitar 0 
solucionar un ataque a la 
seguridad informática 


modelos, 


ATRIBUTO DIFERENCIADOR 


AD 4.3 


Comprende los fundamentos 
necesarios para JE 
identificación de las 
amenazas a la seguridad. 





Representación gráfica de la Unidad de Aprendizaje 





Propósito formativo: Reconocer los elementos de seguridad de un sistema de información y su 
funcionamiento, para una configuración y regulación de las normas más adecuado. 


Atributo Enlace: Diseña e implementa redes de telecomunicación, considerando modelos, estándares, 
dispositivos, conexiones, sistemas y software especializado, para la administración eficiente de los 
recursos de la red identificando las diferentes amenazas a la seguridad en informática, considerando los 
tipos de seguridad y los elementos que deben ser protegidos, para implementar la estrategia más 
adecuada que permita evitar o solucionar un ataque a la seguridad informática. 


Atributo 
Diferencilador: 


Etapa 1 Af Etapa 2 Y Etapa 3 / Etapa a 
«Fundamentos de la + Normatras y Tipos de segundad «Análisis de ataques 


segundad en regulaciones Comprende los 


fundamentos 


informatica 

«snahia los diferentes 
ataques que 3 sumado 
la segundad de la 
información 


«Comprende las 
normalias y 
regulaciones de la 
segundad de la 
morrabca 


«Comprende los 


dierentes bpos de 
¿egundad Larto en la 
nd como en cada una 
de las hetás de a3cteco 
ala informacion 


«Comprende los 
diferentes tipos de 
AMÓNITAR para 
establecer una 
mejor seguridad de 
la informacion 





Macesanics para la 
identificación de las 
amenazas ala 
seguridad 





Evaluación integral de procesos y productos 


Evaluación diagnóstica 
Se desarrolla al iniciar tu formación para estimar los conocimientos previos, y te ayuda a orientar tu proceso 
educativo. Esta evaluación no es de valor acreditable. 


Evaluación formativa 
La evaluación formativa te indica el grado de avance y el proceso para el desarrollo de las competencias, 
advierte ademas las dificultades que encuentres durante tu aprendizaje. 


Las evidencias son evaluadas mediante rúbricas a través de la plataforma NEXUS, donde automaticamente 
se alimenta el Sistema Integral de Seguimiento Académico de Competencias (SISAC), el cual por medio de 
una semaforización refleja el grado de avance del desarrollo de las competencias descritas. 


Número y nombre de la etapa Evidencias 


Etapa 1. Fundamentos de la Linea de tiempo 
seguridad en informática 


Etapa 2. Normativas y regulaciones Mapa conceptual 


Etapa 3. Tipos de seguridad Linea de tiempo 
Etapa 4. Análisis de ataques Linea de tiempo 


Producto Integrador de Aprendizaje. 
Ensayo: Amenazas que afectan a la 
guridad de la información 





Producto Integrador de Aprendizaje (PIA) 
Ensayo: Amenazas que afectan a la seguridad de la información 
1. Conforma un equipo, de acuerdo a las indicaciones del docente. 


2. Investigar sobre las amenazas que pueden sufrir los sistemas de información, antecedentes de los ataques 
tipos de seguridad que se adaptaron para contra restar los ataques. 


3. Descartar información irrelevante y conservar información necesaria. 
4. Estructurar la información en un documento digital. 


5. Subir a la plataforma. 


Criterios de desempeño 

. Distingue las amenazas que sufren los sistemas de información. 
. Realiza el documento en forma de ensayo. 

. Entrega en tiempo y forma. 





Semestre: Cuario 
Etapa: 1-4 


Unidad de Aprendizaje: Segundad en informática | 
Actividad: PIA 


Tipo de evaluación: Heteroevaluació 


Competencia Profesional: CP4. Implementa la seguridad en las tecnologías de información, considerando la configuración y administración de 
las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar posibles ataques a la infraestructura 


informática. 


Atributo Enlace: AE 4, Diseña e implementa redes de telecomunicación, considerando modelos, estándares, dispositivos, conexiones, sistemas y 
sofware especializado, para la administración eficiente de los recursos de la red identificando las diferentes amenazas a la seguridad en 
informática, considerando los tipos de seguridad y los elementos que deben ser protegidos, para implementar la estrategia más adecuada que 
permita evitar o solucionar un ataque a la seguridad informática. 


Atributo Diferenciador: AD4.2 Comprende los fundamentos necesarios para la identificación de las amenazas a la seguridad. 


Nombre de la Evidencia de Aprendizaje: Producto integr: 


CONOCER 


Habilidades 


Actitudes /Yalor 


Observaciones: 


CALIFICACIÓN 


Distingue las amenazas que sufren 
los sistemas de información. 


Realiza el documento en forma de 
ansayo. 


Prasanta en tiempo y forma 


cuidando la calidad de la achvidad 


PONDERACIÓN DE LA RÚBRICA: 


NIVELES DE DESEMPEÑO 


SEMAFORIZACIÓN SOBRE LOS NIVELES DE DESEMPEÑO 


Identifica 10 
amenazas gue 
sufren los sistemas 
de información. 


(3 puntos) 
El ensayo cuenta 
con las 3 principales 
características 
introducción, 
desarrollo 
conclusión. 


(4 puntos] 
Presenta en llempo y 
forma cuidando la 
calidad de bh 
aciividad 


Idantfica 5 amenazas 
que sufren los sistemes 
de información. 


(2 puntos) 
El ensayo cuenta con las 
2 principales 
caracteristicas 
introducción, desarrollo o 
conclusión. 


(3 puntos] 
Presenta fuera de fempo 
y forma cuidando la 
calided de la actividad 


(2 punto] 


Idantfica 1 amenazas 
que — sufren los 
sislemas de 
información. 


(1 punto] 
El ensayo cuenta con 
las 1 principales 
características 
introducción, 
desarrollo 
conclusión. 


(2 puntos) 
Presente fuera de 
tempo y dema la 
calided de la actividad 
no es la esperada 


(1 puntos) 


No presenta 
avidencia de la 
actividad. 


(0 punto) 


(0 punto) 
No presenta 
evidencia de la 
actividad 


(0 punto) 


TOTAL 


PUNTAJE TOTAL: 





NN 








Evaluación sumativa 
Se lleva a cabo al final de tu proceso educativo de esta unidad de aprendizaje, considerando el conjunto de 
evidencias que habras de elaborar a lo largo del semestre e indica el desempeño logrado. 


Instrumentos de evaluación — y| Ponderación 
evidencias 
Primer examen parcial 


Examen de medio término 15% 


Segundo examen parcial 10% 


Examen global 15% 


Subtotal 
Portafolio de evidencias 


Etapa 1. 

D1: Cuestionario en línea 
D2: Resumen 

EA: Línea de tiempo 


Etapa 2. 

D1: Cuestionario en línea 
D2: Cuadro comparativo 
EA: Mapa conceptual 


Etapa 3. 

D1: Cuestionario en línea 
D2: Cuadro sinóptico 

EA: Línea de tiempo 


Etapa 4. 

DO1: Cuestionario en línea 
D2: Cuadro Comparativo 
EA: Línea de tiempo 


Producto Integrador de Aprendizaje. 
Ensayo: Amenazas que afectan a la 
seguridad de la información. 


Los resultados de tu evaluación sumativa se capturan en un sistema propio de la Universidad, se conoce 
como Sistema Integral para la Administración de los Servicios Educativos (SIASE), el cual optimiza los pro- 
cesos administrativos de los departamentos de la Institución (escolar, recursos humanos, finanzas, entre 
otros) para obtener información en forma oportuna y confiable. Éste permite al docente la captura de 
calificaciones por Internet, consultas de horario, minutas y revisión de datos personales, de tal manera que 
podrás obtener información en el momento que lo desees, información que podrá también ser consultada 
por tus padres si así lo desean. 








Recomendaciones para el curso 





Esta guía de aprendizaje es un instrumento facilitador de tu proceso de aprendizaje, la unidad de aprendizaje 
ha sido diseñada en cuatro etapas teórico, cada una estructurada de ellas estructurada con un panorama 
general de las competencias que desarrollaras. 


Es importante que esta guía sea leída y explicada cuidadosamente en clase por tu docente, de tal manera que 
aquellas actividades que debas realizar fuera del aula adquieran un mayor sentido y que a la vez, comprendas 
que las actividades que se realizan en cada sesión están orientadas a fomentar el aprendizaje a través del 
intercambio de ideas, la reflexión y el enriquecimiento intelectual colectivo. 


Además de las actividades propuestas en esta guía didáctica, puedes realizar otras que consideres pertinen- 
tes, de acuerdo con el nivel de competencia que desees lograr, ya sea de manera individual o en equipo, el 
hacerlo así te permite avanzar en la consecución de tus metas. 





Etapa 1 
Fundamentos de la seguridad en informática 





LECTURA INTRODUCTORIA 
¿Qué Proteger? 


Debido al presupuesto, no podemos aplicar todas las medidas de seguridad posibles a todos los equipos de 
la empresa. Debemos identificar los activos que hay que proteger. Qué equipos son más importantes y qué 
medidas aplicamos en cada uno Por ejemplo, todos los equipos deben llevar antivirus y firewall; sin embargo, 
la ocupación del disco duro solo nos preocupamos en los servidores, no en los puestos de trabajo. Del mis- 
mo modo, el control del software instalado es mucho más exhaustivo en un servidor que en un ordenador 
personal. 


Sin embargo, el mayor activo es la información contenida en los equipos, porque un equipo dañado o per- 
dido se puede volver a comprar y podemos volver a instalar y configurar todas las aplicaciones que tenían. 
Es caro, pero tenemos el mismo equipo o mejor; sin embargo, los datos de nuestra empresa son nuestros, 
nadie nos puede devolver si se pierden. En este punto nuestra única esperanza son las copias de seguridad y 
el almacenamiento redundante. 


Los datos no suelen estar reclutados siempre en la misma máquina: en muchos casos salen con destino a 
otro usuario que los necesita. Esa transferencia (correo electrónico, mensajería instantánea, disco en red, 
servidor web) también hay que protegerla. Necesitamos utilizar canales cifrados, incluso aunque el archivo 
de datos que estamos transfiriendo do ya estás cifrado (doble cifrado es doble obstáculo para el atacante). 
Además de proteger las comunicaciones de datos, también es tarea de la seguridad informatica controlar las 
conexiones a la red de la empresa. Sobre todo con la expansión del teletrabajo, que permite utilizar Internet 
para trabajar en la red interna como si estuviéramos sentados en una mesa de la oficina. Ahora las redes de 
las empresas necesitan estar más abiertas al exterior, luego estarían más expuestas a ataques desde cual, 
quier parte del mundo. (Seguridad Informática Mc Graw-Hill 2013) 


Representación gráfica de la etapa. 


Propósito formativo: Analiza las diferentes problemáticas que han surgido a lo largo de la historia los 
sistemas para mantener la seguridad de la información. 


Mombre del tema de la | ' E | 
OS ' Nombre del tema de la 
actividad 1 actividad ? 


Evidencia de Aprendizaje 
A través de preguntas 


exploratorias el estudiante Diferencia sobre las amenazas (INTEGRADORA) 

contesta un Cuestionario de que han surgido a lo largo de la LINEA DE TIEMPO. 
los antecedentes de histoña de la seguridad de la 

amenazas de la información 





Competencia(s) General(es) y atributo(s) 
5.-Utiliza los métodos y técnicas de investigación tradicionales y de vanguardia para el desarrollo de su 
trabajo académico, el ejercicio de su profesión y la generación de conocimientos. 


Atributos 

. Elabora y diseña hipótesis tomando en cuenta los principios, leyes y conceptos. 
Competencia(s) Genérica(s) y atributo(s) 

5.-Desarrolla innovaciones y propone soluciones a partir de métodos establecidos. 


Atributos 
5.3.-Identifica los sistemas y reglas o principios medulares que subyacen a una serie de fenómenos. 


Habilidades Socioemocionales Específicas 
Escucha activa, empatía, pensamiento crítico, toma de perspectiva. 


Competencia del Campo Profesional: 

Implementa la seguridad en las tecnologías de información, considerando la configuración y administración 
de las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar 
posibles ataques a la infraestructura informática. 


Atributo Diferenciador: 
AD4.3.-Comprende las normativas y regulaciones de las listas de acceso a la seguridad de la red necesaria 


para la identificación de las amenazas a la seguridad. 


Elemento(s) de competencia: 
Comprende la historia de los diferentes ataques que ha sufrido la seguridad de la información 


Contenido conceptual: 


. Ataques al hardware 

. Ataques al software 

. Ataque a los datos 

. Vulnerabilidades 

. Ejecución de test de penetración 


Contenido procedimental: 


o Cuestionario 
. Línea de tiempo 
. Síntesis 


Contenido actitudinal 
. Trabaja con responsabilidad en la actividades 
. Analiza con objetividad las actividades 





Experiencias de aprendizaje. 


Dimensión 1. Recuperación 


. Inicia sesión en tu cuenta de plataforma NEXUS 
. Contesta las preguntas sobre tus conocimientos sobre los fundamentos de la seguridad en informá- 
tica. 


Dimensión 2. Comprensión 


. Investiga en fuentes bibliográficas o electrónicas los fundamentos de la seguridad en informática. 
. Realiza una lectura compresiva del tema los fundamentos de la seguridad en informática. 

. en fuentes bibliográficas o electrónicas. 

. Elabora un reporte escrito o electrónico, sobre la lectura que realizaste 


Evidencia de aprendizaje. 


Línea de tiempo 


1. Investigar en fuentes bibliografías o en páginas WEB 
2, Deberás incluir la información más relevante de la etapa. 
3. De manera individual, elabora una línea de tiempo 


Criterios de desempeño. 


. Comprende los antecedentes de las amenazas de la información 
. Diferencia entre las diferentes amenazas de la seguridad de la información y las explica. 
. Demuestra ordenando cronológicamente las amenazas a lo largo de la historia de seguridad de la 


información y sus conceptos básicos. 
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CALIFICAD:ON PONDERACIÓN CE LA RUÚSRICA: "LATAJE TOTAL: 








Evaluación 


Tipo 
Dimensión 1 


Diagnóstica a través de una autoevaluación 


Dimensión 2 
Formativa a través de una heteroevaluación 


Evidencia de Aprendizaje 


Formativa a través de una heteroevaluación 


Sumativa a través de una heteroevaluación 


Recursos materiales 


Manual de Seguridad en informática | 
Plataforma NEXUS. 

Equipo de cómputo y conexión a internet. 
Libreta 

Lápiz 





Instrumento 


Cuestionario 


Lista de Cotejo 


Rúbrica 


Primer examen parcial 


Recursos temporales (estimación de horas aula y extra aula) 


Horas extra aula 











Etapa 2 
Normativas y regulaciones 





LECTURA INTRODUCTORIA 
Normas sobre gestión de seguridad de la información 


Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la 
Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer están- 
dares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internaciona- 
les y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir 
a la transferencia de tecnologías. 


En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad (desarrollados 
o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad. 


Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar 
y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) utilizable 


por cualquier tipo de organización, pública o privada, grande o pequeña. 


La seguridad de la información, según la ISO 27001, se basa en la preservación de su confidencialidad, inte- 
gridad y disponibilidad, así como la de los sistemas aplicados para su tratamiento. (ISO 27000) 


Representación gráfica de la etapa 


Propósito formativo: Analiza las normativas y las regulaciones en los sistemas de la seguridad de la 
información para tener un mejor rendimiento del sistema. 


Mombre del tema de la Nombre del tema de la 
Actividad 1 Actividad 2 
Evidencia de Aprendizaje 


A través de preguntas Diferencia sobre las normalivas (INTEGRADORA) 
exploratorias el estudiante y regulaciones que han surgido Mapa Conceptual. 
contesta un cuestionano de las a lo largo de la hisitona de la 
normativas y regulaciones. seguridad de la información. 








Competencia(s) General(es) y atributo(s) 


5.-Utiliza los métodos y técnicas de investigación tradicionales y de vanguardia para el desarrollo de su tra- 
bajo académico, el ejercicio de su profesión y la generación de conocimientos. 


Atributos 
. Elabora y diseña hipótesis tomando en cuenta los principios, leyes y conceptos. 


Competencia(s) Genérica(s) y atributo(s) 
5.-Desarrolla innovaciones y propone soluciones a partir de métodos establecidos. 


Atributos 
5.3 Identifica los sistemas y reglas o principios medulares que subyacen a una serie de fenómenos 


Habilidades Socioemocionales Específicas 
Escucha activa, empatía, pensamiento crítico, toma de perspectiva. 


Competencia del Campo Profesional: 

Implementa la seguridad en las tecnologías de información, considerando la configuración y administración 
de las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar 
posibles ataques a la infraestructura informática. 


Atributo Diferenciador: 
AD4.3 Comprende las normativas y regulaciones de las listas de acceso a la seguridad de la red necesaria para 
la identificación de las amenazas a la seguridad. 


Elemento(s) de competencia: 
Comprende las normativas y regulaciones de la seguridad de la informática. 


Contenido conceptual: 
. Normativas para la seguridad de los sistemas 
. Regulación de la seguridad de las listas de acceso 


Contenido procedimental: 
. Cuadro comparativo 
. Mapa conceptual 


Contenido actitudinal 

. Responsable en el desarrollo de la actividad 
. Trabaja de forma ordenada 

. Muestra un aprendizaje constante. 





Experiencias de aprendizaje 
Dimensión 1. Recuperación 
. Inicia sesión en tu cuenta de plataforma NEXUS 


. Contesta las preguntas sobre tus conocimientos sobre Normativas y regulaciones 


Dimensión 2. Comprensión 


. Investiga en fuentes bibliográficas o electrónicas sobre Normativas y regulaciones 
. Realiza una lectura compresiva sobre Normativas y regulaciones asignado por el docente 
. Elabora un cuadro comparativo sobre las normativas y regulaciones. 


Evidencia de aprendizaje 
Mapa conceptual 


. De manera individual o como tu maestro lo indique, elabora un mapa conceptual, sobre la Normativas 
y regulaciones, investigada en la actividad anterior 

. Deberás elaborarla con los sucesos más importantes de las Normativas y regulaciones un mapa con- 
ceptual. 


Criterios de desempeño 


. Identifica las diferentes normativas de seguridad y define cada una de ellas en un cuadro comparativo. 
. Diferencia las regulaciones de seguridad de la información en un cuadro comparativo. 
. Categoriza las diferentes normativas y las regulaciones de la seguridad de la información. 





Semestre: Cuario Unidad de Aprendizaje: Seguridad en informática | 
Etapa: 2 Actividad: Mapa conceptual Tipo de evaluación: Heteroevaluación 


Competencia Profesional: CP4. implementa la seguridad en las tecnologías de información, considerando la configuración y administración de 
las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar posibles ataques a la infraestructura 
informática. 

Atributo Enlace: AE 4. Diseña e implementa redes de telecomunicación, considerando modelos, estándares, dispositivos, conexiones, sistemas y 
software especializado, para la administración eficiente de los recursos de la red identificando las diferentes amenazas a la seguridad en 
informática, considerando los tipos de seguridad y los elementos que deben ser protegidos, para implementar la estrategia más adecuada que 
permita evitar o solucionar un ataque a la seguridad informática. 


Atributo Diferenciador: AD4.2 Comprende los fundamentos necesarios para la identificación de las amenazas a la seguridad. 


Nombre de la Evidencia de Aprendizaje: Integradora 2 
NIVELES DE DESEMPEÑO 


CRITERIOS SEMAFORIZACIÓN SOBRE LOS NIVELES DE DESEMPEÑO 


Ianbíica 10 | Ienbfica ? conceptos | kenbfica4 conceptos 

concaptos sobre las | sobre les normativas y | sobre las normativas 
Distingue las normativas y normativas y | regulaciones. y regulaciones. 
regulaciones regulaciones. 
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(3 puntos (2 puntos] [1 punto) (0 punto) 
El mapa conceptual | El mapa conceptual | El mapa conceptual 
cuenta com lá | cuenta con la | cuanta con la 
jerarquización de los | jerarquización de los | jerarquización de los 
concaptos utiliza de | conceptos, — utliza de | conceptos. 
Realiza el mapa conceptual con les | manera adecuada | manera adecuada 
características NECesanas circulos o cuadrados | circulos o cuadrados. 
y ubliza flechas o 
língas. 


Habilidades 


(4 puntos (3 puntos (2 puntos) (0 punto) 
Presente en tempo y | Presenta fuera de tiempo | Presenta fuera de | No presenta 
foma cuidando la | y forma cuidando la | fempo y forma la | evidencia da la 
Presenta en fiempo y forma | calideld de ka | calidad de la actividad calidad de la actividad | actividad 
cuidando la calidad de la actividad | actividad no es la esperada 


Acttudes/Yalor 
ES 


(2 punto] [1 puntos) (0 punto) 


CALIFICACIÓN PONDERACIÓN DE LA RÚBRICA: PUNTAJE TOTAL: 





Evaluación 





Diagnóstica a través de una autoevaluación Cuestionario 


Dimensión 1 


Dimensión 2 Lista de cotejo 


Formativa a través de una heteroevaluación 


Evidencia de Aprendizaje 


Formativa a través de una heteroevaluación 


Sumativa a través de una heteroevaluación Examen global de medio curso 





Recursos materiales 
Manual de Seguridad en informática l. 
Plataforma NEXUS. 


Equipo de cómputo y conexión a internet. 


Recursos temporales (estimación de horas aula y extra aula) 


Horas extra aula 











Etapa 3 
Tipos de seguridad 








LECTURA INTRODUCTORIA 


Introducción a Hacking 


Lejos de definiciones formales, la seguridad informática propone un modo distinto de ver la realidad, una 
perspectiva diferente, casi una filosofía de vida. Es una disciplina en la que resulta imposible adentrarse sin 
recurrir al sentido de la curiosidad y la creatividad. Desde ese misterioso lugar es que, capítulo tras capítulo, 
hemos intentado transmitir una parte de nuestra experiencia, la llave de una puerta que una vez atravesada 
nunca podrá ignorarse, el mapa de un camino que solo habrá de recorrerse con pasión y determinación. 


De ningún modo hemos pretendido escribir un texto bíblico ni un conjunto de información novedosa, sino 
más bien un manual de consulta y de referencia, serio y de calidad, con recursos bibliográficos navegables 
por la web y con contenidos amenos y atractivos que fomenten su fácil lectura, tanto para quienes recién se 
inician en el tema como para aquéllos que ya conocen algo de él. A lo largo de los capítulos, hemos intentado 
cubrir los temas fundamentales que hacen a la seguridad informática orientada al ethical hacking: comenza- 
mos por la más elemental introducción a los conceptos necesarios, pasamos por la explicación de las distin- 
tas fases de un ataque (subdividida en etapas más simples) y por el mundo de Internet y las tecnologías web, 
hasta que llegamos a temas más específicos, como el control de accesos, o más amplios y complejos, como 
las infraestructuras de red. 


También abordamos aspectos menos técnicos, pero no menos importantes, en un capítulo especialmente 
dedicado a los ataques sin tecnología. Somos conscientes de que existe una gran cantidad de temas que han 
tenido que quedar fuera de esta obra y esa selección ha sido uno de los desafíos más complicados que tuvi- 
mos que enfrentar, por lo que incluso nosotros somos los primeros que nos hemos quedado con ganas de 
más. Sin más preámbulos, les damos la bienvenida al vasto universo de la seguridad informática y esperamos 
que este libro sea de su agrado.(Manual USER Hacking desde cero) 


Representación gráfica de la etapa 


Propósito formativo: identificara las diferentes listas de acceso a la información para eviíar ataques 
al sisiema 


Nombre del tema de la 
Actividad 1 Nombre del tema de la 
Actividad 2 
ñ Evidencia de Aprendizaje 


Registra la respuesta correcta (INTEGRADORA) 


en un cuestionario en linea Enlista en cuadro sinóptico LAN 
sobre tipos de seguridad las diferentes listas de Linea de tiempo 
accesoal sistema 





Competencia(s) General(es) y atributo(s) 


5.- Utiliza los métodos y técnicas de investigación tradicionales y de vanguardia para el desarrollo de su tra- 
bajo académico, el ejercicio de su profesión y la generación de conocimientos. 


Atributos 
. Elabora y diseña hipótesis tomando en cuenta los principios, leyes y conceptos. 


Competencia(s) Genérica(s) y atributo(s) 
5.-Desarrolla innovaciones y propone soluciones a partir de métodos establecidos. 


Atributos 
5.3Identifica los sistemas y reglas o principios medulares que subyacen a una serie de fenómenos. 


Habilidades Socioemocionales Específicas 
Escucha activa, empatía, pensamiento crítico, toma de perspectiva 


Competencia del Campo Profesional: 

Implementa la seguridad en las tecnologías de información, considerando la configuración y administración 
de las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar 
posibles ataques a la infraestructura informática. 


Atributo Diferenciador: 
AD4.3.-Comprende las normativas y regulaciones de las listas de acceso a la seguridad de la red necesaria 
para la identificación de las amenazas a la seguridad. 


Elemento(s) de competencia: 
Comprende los diferentes tipos de seguridad tanto en la red como en cada una de las listas de acceso a la 


información. 


Contenido conceptual: 


. Tipos de seguridad 
. Ingeniería social 
. Física y lógica 


Contenido procedimental: 


. Cuadro comparativo 
. Cuadro sinóptico 
. Línea de tiempo 


Contenido actitudinal 
. Tiene predisposición para el trabajo 
E Muestra interés durante el desarrollo de las actividades 





Experiencias de aprendizaje 
Dimensión 1. Recuperación 
. Inicia sesión en tu cuenta de plataforma NEXUS 


. Contesta las preguntas sobre tus conocimientos sobre la historia de las computadoras 


Dimensión 2. Comprensión 


. Investiga en fuentes bibliográficas o electrónicas sobre tipos de seguridad. 
. Realiza una lectura compresiva sobre los tipos de seguridad asignado por el docente. 
. Elabora un cuadro sinóptico, sobre tipos de seguridad. 


Evidencia de aprendizaje 
Línea de tiempo 
1. Con la información recabada sobre los tipos de seguridad, elabora una línea de tiempo. 


Criterios de desempeño 
. Enlista en cuadro sinóptico las diferentes listas de acceso al sistema 
. Catalogar las lista de acceso a la red y al sistema para así tener un aprendizaje más profundo 








Semestre: Cuario Unidad de Aprendizaje: Seguridad en informática | 
Etapa: 3 Actividad: Línea de tiempo Tipo de evaluación: Heteroevaluación 


Competencia Profesional: CP4. Implementa la seguridad en las tecnologías de información, considerando la configuración y administración de 
las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar posibles ataques a la infraestructura 
informática. 

Atributo Enlace: AE 4, Diseña e implementa de telecomunicación, considerando modelos, estándares, disposifivos, conexiones, sistemas y 
software especializado, para la administración eficiente de los recursos de la red identificando las diferentes amenazas a la seguridad en 
informática, considerando los tipos de seguridad y los elementos que deben ser protegidos, para implementar la estrategia más adecuada que 
permita evitar o solucionar un ataque a la seguridad informática. 


Atributo Diferenciador: AD4.2 Comprende los fundamentos necesarios para la identificación de las amenazas a la segundad. 


NIVELES DE DESEMPEÑO 


SEMAFORIZACIÓN SOBRE LOS NIVELES DE DESEMPEÑO 


Nombre de la Evidencia de Apre 


Ienbíica 10 | Haentíica ? | kenbíica 4 | No presenta 
acontecimientos acontecimientos sobre | acontecimientos evidencia de la 
e sobre los tipos de | los tipos de seguridad. score los tipos de | actividad. 
Distingue los tipos de sagundad seguridad. seguridad. 
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(3 puntos) (2 puntos] (1 punto] (0 punto) 
La linea de tiempo | La línea de tiempo | La línea de tiempo 
cuenta con | cuanta con conceptos y | cuenta con conceptos 
conceptos, fechas e | fechas sobre los fipos de | sobre los fipos de 
imágenes sobre los | seguridad seguridad 
fipos de seguridad 


Raaliza la línea de bampo con todas 
las caracteristicas 


Habilidades 


(4 puntos) (3 puntos] (2 puntos) (0 punto) 
Presente en lempo y | Presenta fuera de fiempo | Presente fuera de | Mo presenta 
loma cuidando la | y forma cuidando la | tempo y derma la | evwdencia de la 
Presenta en tiempo y forma | calided de la | calidad de la actividad calided de la actividad | actividad 
cuidando la calidad de la actividad | actividad noes la esperada 


Actitudes valor 
eS 
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CALIFICACIÓN PONDERACIÓN DE LA RÚBRICA: PUNTAJE TOTAL: 





Evaluación 





Instrumento 
Dimensión 1 


Diagnóstica a través de una autoevaluación Cuestionario 


Dimensión 2 


Formativa a través de una heteroevaluación Lista de cotejo 


Evidencia de Aprendizaje 


Formativa a través de una heteroevaluación 


Sumativa a través de una heteroevaluación Segundo examen parcial 





Recursos materiales 


Manual de Seguridad en informática. 
Plataforma NEXUS. 
Equipo de cómputo y conexión a internet. 


Recursos temporales (estimación de horas aula y extra aula) 


Horas aula | Horas extra aula 








Etapa 4 
Analisis de ataques 
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LECTURA INTRODUCTORIA 


La plaga del secuestro informático mediante “ransomware” 


La pequeña ciudad de Riviera Beach en Florida (EE UU, 35.000 habitantes) y Lake City han sido dos de las úl- 
timas víctimas conocidas. Un ataque ransomware (un programa malicioso que bloquea el ordenador y exige 
un pago por recuperar los equipos y la información) dejó las ciudades sin sistemas informáticos y, en contra 
de las directrices del Gobierno federal, los plenos locales aceptaron por unanimidad pagar (526.914 euros en 
la primera localidad) en bitcoins a los secuestradores, que recurren a esta moneda virtual para evitar el ras- 
treo. Riviera Beach y Lake City suceden en el listado de víctimas a ciudades como Baltimore, Atlanta o Nueva 
Jersey. Pero también se suma a los miles de ordenadores de particulares y pequeñas empresas afectadas por 
este tipo de ataques. 


La agencia federal de investigación de EE UU (FBI) registró el pasado año 1.493 ataques de ransomware 
a víctimas que pagaron 3.161.484 euros a los secuestradores, una media de 2.107 euros por ataque. Pero 
son solo los ataques comunicados. La mayoría de ellos afectan a pequeñas empresas o particulares que no 
informan del pago. En España, según datos del Centro Nacional de Protección de Infraestructuras Críticas 
(CNPIC), hubo 54 ataques contra infraestructuras críticas de la Administración en 2018. 


Representación gráfica de la etapa 


Propósito formativo: Diferencia los distimios tipos de amenazas en la red para ener una mejor 
implementación de la prevención de las amenazas en la rec. 


Nombre del tema de la Nombre del tema de la 
Actividad 1 Actividad 2 


Evidencia de Aprendizaje 
(INTEGRADORA) 
Linea de tiempo 


Registra la respuesta correcta en Ordenara de manera lógica los 
un cuestionario en linea sobre diferentes tipos de amenazas 
analisis de ataque. y sus característica. 





Competencia(s) General(es) y atributo(s) 
5.-Utiliza los métodos y técnicas de investigación tradicionales y de vanguardia para el desarrollo de su tra- 
bajo académico, el ejercicio de su profesión y la generación de conocimientos. 


Atributos 
. Elabora y diseña hipótesis tomando en cuenta los principios, leyes y conceptos. 


Competencia(s) Genérica(s) y atributo(s) 
5.- Desarrolla innovaciones y propone soluciones a partir de métodos establecidos. 


Atributos 
4.3ldentifica los sistemas y reglas o principios medulares que subyacen a una serie de fenómenos. 


Habilidades Socioemocionales Específicas 
Escucha activa, empatía, pensamiento crítico, toma de perspectiva. 


Competencia del Campo Profesional: 

Implementa la seguridad en las tecnologías de información, considerando la configuración y administración 
de las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar 
posibles ataques a la infraestructura informática. 


Atributo Diferenciador: 
AD4.3.-Comprende las normativas y regulaciones de las listas de acceso a la seguridad de la red necesaria 


para la identificación de las amenazas a la seguridad. 


Elemento(s) de competencia: 
Comprende los diferentes tipos de amenazas para establecer una mejor seguridad de la información. 


Contenido conceptual: 


. Analisis de riesgo 
. Pestesting 
. Hackers 


Contenido procedimental: 


. Examen diagnostico 
. Cuadro comparativo 
. Línea de tiempo 


Contenido actitudinal 

. Trabaja con honestidad en el desarrollo de las actividades. 
. Está motivado hacia el logro de los objetivos 

. Muestra un aprendizaje constante 





Experiencias de aprendizaje 
Dimensión 1. Recuperación 
. Inicia sesión en tu cuenta de plataforma NEXUS 


. Contesta las preguntas sobre tus conocimientos sobre los Análisis de ataques 


Dimensión 2. Comprensión 


. Investiga en fuentes bibliográficas o electrónicas sobre los análisis de ataques 
. Realiza una lectura compresiva sobre los análisis de ataques asignados por el docente. 
. Elabora un cuadro sinóptico, sobre los análisis de ataques. 


Evidencia de aprendizaje 


Línea de tiempo 
. Con la información recabada sobre los análisis de ataques, elabora una línea de tiempo. 


Criterios de desempeño 


. Identificar las amenazas y sus similitudes aprenderá a solucionar los ataques por las múltiples amena- 
zas a la seguridad de la información 
. Ordenara de manera lógica y concisa las diferentes amenazas que han surgido a lo largo de la historia 


a la seguridad de la información 





Unidad de Aprendizaje: Seguridad en informática | 
Actividad: Línea de tiempo 


Semestre: Cuarlo 


Etapa: 4 Tipo de evaluación: Heteroevaluación 


Competencia Profesional: CP4. Implementa la seguridad en las tecnologías de información, considerando la configuración y administración de 
las redes de cómputo y sus usuarios, para identificar las medidas de protección más adecuadas y evitar posibles ataques a la infraestructura 
informática. 

Atributo Enlace: AE 4, Diseña e implementa de telecomunicación, considerando modelos, estándares, disposifivos, conexiones, sistemas y 
sofware especializado, para la administración eficiente de los recursos de la red identificando las diferentes amenazas a la seguridad en 
informática, considerando los tipos de seguridad y los elementos que deben ser protegidos, para implementar la estrategia más adecuada que 


permita evitar o solucionar un ataque a la seguridad informática. 


Atributo Diferenciador: AD4.2 Comprende los fundamentos necesarios para la identificación de las amenazas a la seguridad. 


Nombre de la Evidencia de Aprendizaje: Integradora 4 


| 


[mua 
LU 
S 
E 
o 
O 


Ha bi lidades 


Actitudes Y alor 


CALIFICACIÓN 


CRITERIOS 


kianbfica 10 
acontecimientos 
A ie | sobre los análisis de 
Distingue los análisis de alaques ataques 
(3 puntos] 
La línea de tiempo 
cuanta con 
concaptos, fechas e 
imágenes sobre 
anébsis de ataques. 


Raaliza la línea de bampo con lodas 
las caracteristicas 


(4 puntos) 
Presenta en lempo y 
lorma cuidando ki 
calided de kh 
actividad 


Presente en fempo y forma 
cuidando la calidad de la actividad 


NIVELES DE DESEMPEÑO 


Identifica 1 
acontecimientos — sobra 
los análisis de ataques. 


(2 puntos] 
La línea de tiempo 
cuanta con conceptos y 
lechas sobre los análisis 
de ataques. 


(3 puntos] 
Presenta fuera de tiempo 
y forma cuidando la 
calided de la achividad 


(2 punto] 


PONDERACIÓN DE LA RÚBRICA: 


Idanbíica y 
acontecimientos 
sobre los análisis de 
ataques 


(1 punto) 
La línea de tempo 
cuenta con conceptos 
sobre los análisis de 
ataques. 


(2 puntos) 
Presenta fuera de 
tiempo y forma la 
calided de la actividad 
noes la esperada 


(1 puntos) 


SEMAFORIZACIÓN SOBRE LOS NIVELES DE DESEMPEÑO 


No presenta 
evidencia de la 
actividad. 


(0 punto) 


(0 punto) 
No presenta 
evidencia de la 
actividad 


(0 punto) 


PUNTAJE TOTAL: 





Evaluación 





Diagnóstica a través de una autoevaluación Cuestionario 


Dimensión 1 


Dimensión 2 


Formativa a través de una coevaluación Lista de cotejo 


Evidencia de Aprendizaje 


Formativa a través de una heteroevaluación 


Sumativa a través de una heteroevaluación Examen global final 





Recursos materiales 


Manual de Seguridad en informática |. 
Plataforma NEXUS. 
Equipo de cómputo y conexión a internet. 


Recursos temporales (estimación de horas aula y extra aula) 


Horas extra aula 








Registro del desarrollo de competencias del estudiante 


La Plataforma Nexus es un sistema perteneciente a la UANL el cual es desarrollado para crear y administrar 
cursos en línea, por medio de ésta los Cuerpos Académicos Disciplinares (CAD) de la Dirección del Sistema 
de Estudios del Nivel Medio Superior (DSENMS) diseñan los cursos master correspondientes a cada unidad 
de aprendizaje que conforman el currículum de la oferta educativa del Nivel Medio Superior. En la elabo- 
ración de los cursos, los CAD generan rúbricas para evaluar las evidencias de cada etapa y además, éstas 
permiten la articulación de los criterios de desempeño con los atributos de las Competencias Generales / 
Genéricas y las Competencias Disciplinares Básicas descritas en cada etapa de la Unidad de Aprendizaje. 


A través de esta plataforma se alimenta el Sistema de Seguimiento Académico de Competencias (SISAC), 
que permite llevar un registro por estudiante del desarrollo de las competencias indicadas en cada Unidad 
de Aprendizaje; este sistema muestra una semaforización por etapa, por unidad de aprendizaje, por es- 
tudiante y por grupo de las competencias generales, competencias genéricas, competencias disciplinares 
básicas y competencias profesionales. 


Por ello es importante que utilices esta plataforma, ya que te permitirá modificar hábitos, estrategias y 
acciones que te lleven a culminar con éxito tu trayectoria escolar. 


Actividades del estudiante y docente en la Plataforma Nexus 


En la Plataforma Nexus subes la evidencia de aprendizaje de cada etapa en los tiempos indicados. Tu do- 
cente accede a la evidencia que subes a la plataforma, la revisa y la valora, usando el instrumento de eva- 
luación diseñado (rúbrica), donde asigna para cada criterio, el nivel de dominio logrado (Evidencia comple- 
ta, Evidencia suficiente, Evidencia débil y Sin evidencia). Al haber revisado tu docente la evidencia, puedes 
acceder a la evaluación e identificar en la rúbrica claramente la semaforización (Verde, Amarillo, Rojo), así 
como la ponderación respectiva, lo que permite tomar acciones pertinentes para que tú logres desarrollar 
las competencias señaladas en cada unidad de aprendizaje. A continuación, se describe el significado de 
cada color: 


Verde: cuando claramente se observe o se presenten evidencias de que tú estas desarrollando el atributo 
de la competencia genérica, disciplinar o profesional. 


Amarillo: cuando el desarrollo del atributo de la competencia genérica, disciplinar o profesional aún no se 
presenta con contundencia o solidez. 


Rojo: cuando es evidente que aún no desarrollas el atributo de la competencia genérica, disciplinar o profe- 
sional. 


Al momento que veas el color que obtuviste en cada uno de los criterios de la rúbrica, puedes darte cuenta 
de tus areas de oportunidad, de manera que puedas hacer las modificaciones correspondientes a la eviden- 
cia y volverla a subir, de tal forma que tu maestro la vuelva a revisar y así lograr el aprendizaje esperado. 








Fuentes de apoyo y consulta 


Básica 


Complementaria 











Registro de evidencias del estudiante 


Dependencia: Grupo: 
Unidad de aprendizaje: Turno: 
Nombre del docente: 

Nombre del estudiante: 

Matrícula: 


Etapa 1. Fundamentos de la seguridad en informática. 


Productos Evidencia 
parciales 


Productos 


parciales 








Etapa 3. Tipos de seguridad. 
Productos Evidencia Evaluación según el agente 


Autoevaluación | Coevaluación | Heteroevaluación 


parciales de etapa 


Productos Evidencia 
parciales de etapa 








Portafolio de evidencias Ponderación 


Etapa 1. Fundamentos de la seguridad en informática 


Etapa 2. Normativas y regulaciones 


Etapa 3. Tipos de seguridad 
Etapa 4. Análisis de ataques 


Producto Integrador de Aprendizaje. Ensayo: Amenazas que afectan a 
seguridad de la información 


Primer examen parcial 
Examen de medio término 


Segundo examen parcial 


Examen global 











Ls 


Aniversario - UANL 


